LIGNE INFO : 06 1 614 CLICK
 

5 étapes de Google Analytics pour la conformité GDPR | Weboptim

Qu'est-ce que le GDPR et pourquoi devriez-vous vous en préoccuper ?
Le règlement général sur la protection des données (RGPD) est la loi sur la protection des données de l'Union européenne, qui entre en vigueur le 25 mai 2018. Il vise à consolider les règles de protection des données dans l'UE.

Quelques informations importantes concernant le GDPR

- Si une organisation ne se conforme pas à la réglementation, elle s'expose à une sanction financière pouvant aller jusqu'à 20 millions d'euros, soit 4% du chiffre d'affaires mondial.
- Vous devez vous y conformer même si vous n'êtes pas physiquement présent dans l'UE mais que vous fournissez des biens ou des services à des citoyens de l'UE.
- La définition des données à caractère personnel est très large et inclut les adresses IP, les identifiants de cookies et la localisation GPS.
- Le consentement doit être clair et transparent : cela signifie que l'inactivité et les cases à cocher pré-cochées ne constituent pas un consentement.
- Les citoyens de l'UE ont le droit de faire effacer leurs données, et celles-ci doivent être effacées sur demande.
- Le GDPR est l'occasion d'instaurer la confiance et de mettre en valeur votre marque.

 

europe-3256079_640
 

 

Google Analytics : le responsable du traitement des données

Si nous utilisons Google Analytics, Google est notre processeur de données. Nous sommes le responsable du traitement des données car nous pouvons contrôler les données que nous envoyons à Google Analytics.

 

 

Les étapes :

1. vérifiez vos informations personnelles identifiables (IPI)

Nous espérons que cela ne vous surprendra pas, mais la collecte d'informations personnelles identifiables est contraire aux conditions générales de Google Analytics.
Cela vaut aussi bien pour la version gratuite de Google Analytics Standard que pour la version payante de Google Analytics 360. Que nous le sachions ou non, il est temps de s'assurer que nous ne transmettons pas d'informations personnellement identifiables.

 

  • Nous vérifions les URL, les adresses et les autres données des pages pour nous assurer qu'aucune information personnelle identifiable n'est collectée. Un exemple courant de collecte de données IPI est celui où l'URL contient un paramètre fixe „email = querystring”.
  • Nous veillons à ce que les données fournies par les utilisateurs dans les formulaires, qu'Analytics collecte également, ne contiennent pas d'informations personnellement identifiables.
  • Notez qu'il ne suffit pas de filtrer les données IPI, il faut les gérer au niveau du code pour empêcher les données personnelles d'entrer dans Google Analytics.

 

2. activer l'anonymisation de l'IP

Le GDPR considère les adresses IP comme des données personnelles. Même si l'adresse IP n'est (par défaut) jamais affichée dans les rapports, Google l'utilise pour fournir des données de géolocalisation.

Pour des raisons de sécurité, il est recommandé d'activer la fonction d'anonymisation de l'IP de Google Analytics. Cela nécessite une modification du code.

 

Si vous utilisez Google Tag Manager, ajoutez la balise à vos paramètres Google Analytics.
Ouvrez la variable, cliquez sur le bouton "Plus d'options" et ajoutez le champ suivant : name : anonymizeIp value : true

 

tag manager ip anonim
 

 

Si vous n'utilisez pas le gestionnaire d'adresses Google, vous devrez peut-être modifier le code directement.
La ligne supplémentaire suivante doit être incluse : ga(‘set’, ‘anonymizeIp’, true) ;

 

Cette modification entraînera l'anonymisation de l'adresse IP par Google, ce qui peut être fait techniquement en supprimant le dernier octet de l'adresse IP (par exemple, l'adresse IP sera 123.123.13.0). Cette opération est effectuée avant que les données ne soient stockées et traitées. L'adresse IP complète ne sera jamais saisie dans le système si cette fonction est activée.
Cela a pour effet de réduire légèrement la précision des rapports géographiques.

 

3. vérifier la collection de pseudo-identifiants (courriels hachés, identifiant de l'utilisateur)

Nous pouvons utiliser des pseudonymes et des pseudo-identifiants lors de la mise en œuvre de Google Analytics. Il peut s'agir des éléments suivants :

  • ID de l'utilisateurID utilisateur - il doit s'agir d'un identifiant alphanumérique de la base de données ; jamais de texte brut, par exemple le nom d'utilisateur.
  • Données cryptées, comme une adresse de courrier électronique : Google a un minimum d'exigences en matière de sécurité. hachage et il est fortement recommandé d'utiliser une chaîne d'au moins 8 caractères.
  • ID de transaction : Techniquement, il s'agit d'un pseudo-identifiant, car il peut conduire à l'identification de la personne lorsqu'il est combiné à d'autres sources de données. Cet identifiant doit toujours être un identifiant alphanumérique de base de données.

Cela semble être une pratique acceptable en vertu du GDPR et des conditions générales de Google Analytics. Il est toutefois recommandé de veiller à ce que la politique de confidentialité soit mise à jour pour refléter l'objectif de la collecte des données et que le consentement explicite des utilisateurs soit obtenu. Dans les deux cas, les informations fournies aux utilisateurs doivent être claires et répondre aux questions „quelles sont les données que nous collectons” et „comment nous utilisons ces données”.

 

4. mettre à jour votre politique de confidentialité

Selon le GDPR, la mise à jour de la politique de confidentialité est l'une des tâches les plus importantes et doit toujours être communiquée aux utilisateurs de manière claire, compréhensible et concise.
Comme cela a toujours été le cas, l'objectif d'une politique de protection de la vie privée est de décrire ce que nous collectons et, surtout, ce qu'une organisation doit respecter et faire comme il est indiqué ici. Le public visé par une politique de protection de la vie privée est l'utilisateur final (et non le juriste).

 

Lors de la rédaction d'un avis de confidentialité, les questions suivantes doivent être prises en compte :

  • quelles sont les informations que nous recueillons ?
  • qui les collectionne ?
  • comment se fait la collecte ?
  • pourquoi collectionner ?
  • comment l'utiliserez-vous ?
  • avec qui le partagez-vous ?
  • quel sera l'impact sur les personnes concernées ?
  • la personne s'opposera-t-elle à l'utilisation proposée ?

 

gdpr regulation
 

5. créer des options d'acceptation ou de refus

La grande question que tout le monde se pose est de savoir si nous avons vraiment besoin d'un consentement explicite. Après tout, cela peut représenter un travail considérable et avoir un impact absolu sur la participation des utilisateurs.

 

Réfléchissons-y !

Si nous collectons des identifiants d'utilisateur ou d'autres pseudo-identifiants, l'utilisateur doit donner son consentement. Comme indiqué ci-dessus, le consentement doit être explicite (opt-in). L'époque des annonces de cookies indiquant que si vous continuez à utiliser le site, vous donnez votre consentement est révolue - il ne s'agit plus d'un consentement. Au lieu de cela, les utilisateurs doivent être clairement invités à donner leur consentement. L'approche la plus courante consiste à faire apparaître une fenêtre contextuelle sur la page lors de la connexion, qui demande l'autorisation de l'utilisateur et, s'il la donne, la page sera rechargée ou des scripts Google Analytics seront exécutés.

 

Si les données d'identification de l'utilisateur sont collectées ou utilisées à des fins de profilage comportemental ou d'autres technologies publicitaires, un mécanisme de consentement explicite doit être mis en place.

 

Google Analytics enregistre également un identifiant de cookie appelé identifiant client GA et, comme il s'agit d'une fonctionnalité essentielle du produit, Analytics est susceptible d'offrir une autorisation d'opt-in à tous les visiteurs de l'UE. Ces identifiants en ligne sont considérés comme des données à caractère personnel et sont donc soumis à la réglementation.
Dans le cadre du GDPR, il est nécessaire de fournir une preuve du consentement (piste d'audit). Nous vous recommandons de suivre le consentement dans Google Analytics en tant qu'événement individuel.

 

 

 

Résumé

Ces cinq étapes constituent un excellent moyen de s'assurer que votre compte Google Analytics ou votre site web est conforme au GDPR. Le GDPR est un ensemble complexe de réglementations et il est essentiel que votre organisation dispose d'un plan de mise en conformité.

 

 

 

Source : http://www.blastam.com/blog/5-actionable-steps-gdpr-compliance-google-analytics

 

 

L'article vous a plu ? Vous pouvez le partager ici !


Références
Veuillez contacter
pour un devis !