RGPD et Webanalytics est un sujet délicat. Le Règlement Général sur la Protection des données (RGPD) est entré en vigueur le 25 mai 2018. S’il impacte la grande majorité des sites Web dans leur manière d’informer, de récolter et de traiter les données sur leurs utilisateurs, le domaine du web analytics est particulièrement sensible. Etes-vous en conformité ? Quelques pistes de réflexion pour le savoir et les initiatives à prendre, sous Google Analytics notamment.
RGPD et webanalytics : les grandes problématiques
Se mettre en conformité avec le RGPD implique bien plus que quelques modifications de la bannière d’acceptation des cookies ou du texte existant sur le recueil et la protection des données.Dans les faits, toutes les données à caractère personnel sont concernées, ce qui signifie que les outils et systèmes déployés en interne doivent aussi être adaptés. Comment recueillir le consentement ? Organiser la portabilité des données, les droits d’accès, d’opposition, d’oubli, de rectification… ? Comment sécuriser ces données? Sur de nombreux points, les exigences ne sont pas nouvelles et relèvent plus du rappel. Mais le RGPD va plus loin sur de nombreux points et il importe d’y être bien préparé.En matière de webanalytique, rappelons que ce n’est pas parce qu’une personne ne donne pas explicitement son consentement qu’on ne peut pas collecter des données Google Analytics (ou autre). Le règlement porte en effet sur les données personnelles, c’est-à-dire celles qui peuvent permettre d’identifier une personne, y compris de manière indirecte.La partie webanalytics doit donc être paramétrée pour que le croisement de certaines données (formulaires, dates, champs variés) ne puisse pas, justement, apposer un nom ou une identification sur le profil d’un visiteur anonyme qui n’a pas clairement donné son accord.En général, le traitement des données sur les sites Web viennent des formulaires de contact, abonnements par e-mails, etc. d'une part (informations demandées par le site puis soumises par l'utilisateur) et, d'autre part, des données obtenues via le tracking des visites et les cookies déposés.
4 étapes de mise en conformité au niveau de Google Analytics
Bien que Google Analytics ne soit ni la seule solution de webanalytique disponible, ni le seul dispositif qui doive être paramétré pour s’adapter au RGPD, il s’agit d’un passage obligatoire pour les sites qui y ont recours.La data récoltée autour du profil d'un visiteur unique touche directement à la question des données personnelles, même si cela peut ne pas être le cas lorsque le tracking n'assure pas une granularité précise.Si vous gérez un compte GA, vous avez d’ailleurs dû voir le fameux message “ [Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) ».Plusieurs actions doivent être mises en oeuvre (si ce n'est pas encore fait) :
- Etape 1 : accepter les modifications (DPA)
Pour valider le Data Processing Amendment (DPA), suivre le chemin Administration > Paramètres du compte > Consulter la modification.Qu'est-ce que cela change pour vous? Plusieurs choses, dont le fait que vous êtes responsable du fait de ne pas transmettre de données personnelles considérées sensibles à GA.
- Etape 2 : déclarer les administrateurs des données de votre entreprise
Au même niveau que la capture d'écran ci-dessus, il suffit de cliquer sur "gérer les détails du DPA" pour renseigner les informations juridiques demandées. A noter qu'une même personne peut être indiquée plusieurs fois :
- Etape 3 : valider la durée de temps de rétention des données
Avec le RGPD, la conservation des données liées à un utilisateur doit se voir attribuer une durée maximale. Google la place par défaut à 26 mois. Vous pouvez ajuster en fonction de la politique de votre entreprise. Cela veut dire concrètement qu'un utilisateur qui ne vient pas sur votre site pendant tout ce temps verra une grosse partie des données qui le concernent être supprimée de vos rapports.
Le site de la Commission Européenne précise que "les données doivent être conservées pendant le plus court délai possible. Cette période devrait bien sûr tenir compte des raisons pour lesquelles votre entreprise/organisation doit traiter les données ainsi que des obligations juridiques qui vous imposent de garder les données pendant une période déterminée (...)Votre entreprise/organisation devrait fixer des délais pour effacer ou examiner les données conservées."
- Etape 4 : mettre à jour les Conditions Générales d'Utilisation si la publicité est active sur le site
Dans Paramètres de la propriété, si les fonctionnalités publicitaires sont activées, il est important de bien informer les visiteurs et de leur préciser qu'ils peuvent désactiver ce tracking GA via cet outil.
Les bonnes questions à se poser pour évaluer votre conformité au RGPD
Elles sont de plusieurs ordres :
- Avez-vous le droit de transférer ou de traiter des données avec des données tierces ?
- Avez-vous communiqué les bonnes informations aux internautes ?
- Avez-vous toujours besoin du consentement d'un utilisateur ?
- Savez-vous réellement ce que vous pouvez faire de vos données analytiques ? Transfert, import, export, fusion...
- Quelles sont vos responsabilités ?
- Quelles sont les responsabilités de votre fournisseur de web analytique ?...
Pour ce qui est de la question du consentement, ce dernier est obligatoire si les données collectées sont sensibles et/ou accessoires, au sens où elles ne répondent pas à un besoin défini comme fondamental dès le départ.En matière de cookies, il est important de respecter la législation nationale en vigueur (les bandeaux notamment, pour obtenir un consentement explicite de déposer le cookie). Le cookie doit être basé sur un choix véritable de l'utilisateur, qui doit être facilement capable de désactiver tous les cookies qu'il souhaite, à l'exception de ceux qui sont vraiment nécessaires, tout en étant en mesure de continuer sa navigation sur le site.Voici par exemple ce que propose le site de Marriott Hotels lors d'une première visite (en pop up) : [caption id="attachment_4256" align="alignnone" width="668"]
(c) Marriott International[/caption]Ensuite, ce même utilisateur doit pouvoir modifier les cookies et paramètres liés quand il le souhaite, qu'il s'agisse de les accepter ou de les rejeter. Sur le même site toujours, il suffit de cliquer sur "Préférences de suivi" dans le menu du footer pour accéder à des informations claires et facilement gérables par le visiteur :[caption id="attachment_4257" align="alignnone" width="819"]
(c) Marriott International[/caption]N'oubliez pas non plus de bien organiser le stockage du consentement donné.Vous l'avez sûrement déjà constaté en navigant vous-même sur différents sites : les informations que l'on vous donne varient d'un acteur du Web à l'autre. Dans le cadre webanalytics, il faudra notamment détailler aux utilisateurs finaux quelles données personnelles vont être recueillies, ce à quoi elles vont servir, de quelles manières elles vont être utilisées, et si le stockage ou le traitement est effectué hors de l'Union Européenne.Avec toujours ce même mot d'ordre : être clair, simple et compréhensible, ce qui implique que ces informations ne doivent pas être noyées au fond des conditions d'utilisation d'un site Internet. Ces instructions doivent aussi expliquer clairement comment l'utilisateur peut accepter ou sortir des données collectées sur lui.
Conclusion : RGPD et webanalytics vont de paire
Au final, le RGPD en est encore à ses débuts, ce qui signifie que des évolutions et précisions sont encore à attendre dans les mois qui arrivent. C'est en tout cas une excellente base pour mettre en confiance les internautes et construire de nouvelles relations entre les enseignes et entités actives sur le Web et les utilisateurs finaux.Notre solution, Alphalyr SmartScan garantie la conformités RGDP de vos données webanalytics. Demandez un audit de votre compte !
