La protection des données personnelles, c’est important, mais l’expérience utilisateur aussi ! Qui ne déteste pas se faire agresser par des popups de cookies dès son arrivée sur un site ? Aujourd’hui, je vous explique comment utiliser Google Analytics en conformité avec le RGPD, sans avoir à demander le consentement des cookies. Vous allez voir, avec Google Analytics 4, ce n’est pas sorcier.
Avant tout, comprenons le rôle du popup de cookies
Avant de rentrer dans les détails, je vous propose d’étudier un peu avec moi les bases des règles de la CNIL vis à vis des données personnelles, et plus particulièrement des cookies. En tant que webdesigner j’ai eu l’occasion de parcourir ces règles en long et en large, si bien que je pense les connaître très correctement
Pour appréhender les règles de confidentialité européennes du RGPD en ce qui concerne les cookies, il faut comprendre plusieurs notions : les données personnelles, leur traitement et les cookies.
1) Les données personnelles
La CNIL (Commission Nationale de l'Informatique et des Libertés) ne prend délibérément pas le temps de lister précisément les données personnelles. Au contraire, elle explique que cette notion est très large et peut englober de nombreux cas. Elle en donne cette définition :
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable » (Source : CNIL)
Donc, toute information qui permet d’identifier une personne est une donnée personnelle. Ce peut être le cas d’un nom et d’un prénom, comme d’un identifiant client dans le cas de Google Analytics (pas dans la version 4).
On pourrait penser qu'un identifiant n’est pas une donnée personnelle, mais en fait c’est bien le cas. Dans le cas d’un site c’est un numéro unique assigné à un unique visiteur. Il permet donc bien d’isoler et d’identifier une personne précise, même si ce n’est pas grâce à son nom.
Ainsi, dès qu’on possède un tas d’infos sur un visiteur web, même si ce n’est pas son nom et prénom, et que le croisement de ces infos permet de remonter à une personne physique précise, on parle de données personnelles.
Dans le cas de Google Analytics, il va donc falloir faire attention à ce qu’on collecte pour ne pas pouvoir remonter jusqu’à une personne physique si l’on veut utiliser ce service en conformité avec le RGPD sans popup.
2) Le traitement des données personnelles
Maintenant qu’on sait ce qu’est une donnée personnelle, on va pouvoir aborder leur traitement. Car ce n’est pas la donnée en elle-même qui pose problème bien souvent, mais son traitement.
Encore une fois selon la CNIL, un traitement des données personnelles peut être défini comme une opération sur des données personnelles, peu importe la nature de l’opération. Même la consultation de ces données est considéré comme un traitement.
La principale règle à connaître est qu’un traitement des données personnelles doit toujours avoir une finalité. Par exemple, dans le cas d’une newsletter, la finalité est la prospection et l’information de vos abonnés. Dans les cas des commandes e-commerce, le traitement visera la facturation des clients et la livraison. Dans le cas de Google Analytics, le traitement visera le plus souvent à suivre les statistiques d’utilisation du site afin d’améliorer ce dernier efficacement.
Le traitement est licite dans 6 cas fixés par la RGPD. Nous ne les détaillerons pas ici, mais pour résumer le traitement est licite dans le cadre de l’exécution d’un contrat et dans quelques autres cas bien précis, sans quoi il faut avoir le consentement préalable de la personne concernée. Je vous laisse consulter l’article 6 des principes du RGPD pour en savoir plus.
3) Cookie et consentement
Sur sa page “Cookies et traceurs : que dit la loi ?” la CNIL explique dès le premier paragraphe que les internautes doivent donner leur consentement avant d’être soumis à l’installation de certains cookies, tandis que d’autres cookies n’ont pas besoin d’un accord.
Ainsi, il convient de faire la distinction entre un cookie qui touche aux données personnelles, et un cookie qui n'y touche pas. Par exemple, l’ancienne version de Google Analytics utilisait un cookie “identifiant” qui attribuait un numéro unique à un utilisateur. Ceci permettait de l’identifier, si bien qu’il s’agissait d’une donnée personnelle.
En revanche, un cookie de session “classique” qui par exemple sert à stocker le contenu d’un panier pour un e-commerce, n’a pas besoin de consentement. Il ne permet pas d’identifier l’utilisateur que ce soit en lui-même ou en le croisant avec d’autres données.
Comment utiliser Google Analytics 4 sans popup de consentement ?
Comme nous allons le voir ci-après, il est possible d’utiliser Google Analytics 4 sans utiliser de popup de consentement de cookies. Pour ça, il faut "simplement" s'assurer qu'on ne touche pas aux données personnelles de nos visiteurs. Vérifions point par point que c’est bien le cas et comment configurer tout ça.
1) Pas de cookie type “données personnelles”
Tout d’abord, il faut s’assurer qu’aucun cookie ne dépose d’identifiant unique sur l’ordinateur du client. Pour ça, je vous invite à utiliser Google Analytics 4. Cette version de Google Analytics fait très attention à ce genre de détails et vous laissera avec seulement deux cookies, dont aucun ne correspond à un identifiant unique.
Pour le vérifier, vous pouvez utiliser l’outil inclut dans votre navigateur internet, ou alors utiliser un site comme www.cookieserve.com ce qui est souvent le plus simple.
Par exemple sur mon site, j’ai deux cookies. Le premier “_ga” est le cookie classique de Google Analytics, tandis que le second “_ga_XXXXXXX” est celui de mon flux de donnée, rien à voir avec un id de client.
2) Pas de données personnelles stockées dans Google Analytics
Si notre cookie nous permet de collecter des données personnelles, on doit alors demander à l’utilisateur son autorisation avant de le placer sur son appareil, et c’est bien normal.
Nous avons vu plus tôt qu’une donnée personnelle pouvait être le croisement de plusieurs données, arrivant au final à remonter jusqu’à une personne physique précise. Sans identifiant utilisateur, on est déjà pas mal. Mais et le reste alors ?
La première chose à faire, c’est de ne pas suivre l’adresse IP de votre visiteur. Dans la version 4 de Google Analytics, l’IP est masquée pour éviter ça. On sait ainsi vaguement la zone géographique où la visite à eu lieu, mais c’est tout.
Pour ceux qui ne le savent pas, une adresse IP est l’adresse de votre machine sur Internet. Elle permet de savoir à quelle machine doit être envoyée la page demandée sur le web. Elle ressemble par exemple à 12.214.31.144 et lorsque GA4 la masque, on se retrouve alors avec 12.214.31.0.
Dans GA4, l’anonymisation des IPs est toujours activée (source).
3) Pas de suivi étendu ou de partage entre plateformes
Pour qu’une solution de mesure d’audience soit exemptée de consentement au sujet des cookies, elle ne doit pas transmettre les données à un tiers, et ne doit pas permettre de suivre l’internaute sur plusieurs sites (source).
Dans Google Analytics, vous trouverez dans vos réglages de compte une section “Paramètres du compte” avec plein de cases à cocher. Elles définissent vos options de partage de données avec Google et des tiers. En décochant ces cases , vous êtes dans les clous pour la première partie de la règle : les infos collectées ne sont pas soumises à des tiers.
Pour la seconde partie de la règle, ce n’est pas un problème : Google Analytics ne vous permet pas de traquer les internautes sur plusieurs sites.
4) Accepter l’accord sur le traitement des données
Ce dernier point est une formalité puis qu’elle ne fait en soit rien pour anonymiser les données de votre compte. Ce n’est ni plus ni moins qu’un accord passé avec Google pour mettre au clair tous les points liés au RGPD dans Google Analytics.
Par exemple, la section 7 de cet accord décrit les mesures de sécurité prisent par Google pour garder les données de vos visiteurs confidentielles. L’accord explique aussi comment se passerait une demande de suppression de données, qui est responsable de quoi en terme de transfert de données, etc. C’est très technique et exhaustif (et ennuyeux 😂).
Pour l'accepter, ouvrez Google Analytics puis rendez-vous dans "Administration" puis "Paramètres du compte". Sous les réglages de partage des données, vous trouverez un bouton dédié à cet accord.
Alors est-ce qu’on en a vraiment besoin pour être exempté de popup de consentement GA4 sur son site ? Je n’en suis pas sûr, je ne vois pas en quoi ça améliore l’anonymat du visiteur. Mais dans le doute, autant accepter la chose, ça ne coûte rien.
Attention : si vous n’utilisez pas Google Analytics 4
Dans ce cas, les choses ne sont pas aussi simples. Vous devrez apprendre à anonymiser les IP de vos visiteurs lors de l’appel de Google Analytics dans le code javascript, mais aussi bidouiller un peu pour supprimer le cookie d’identification que les anciennes versions utilisent. Franchement, c’est pas la joie. Je vous conseille vivement d’utiliser la version 4, c’est beaucoup plus simple.
Questions fréquentes
Donc avec Google Analytics 4 je suis conforme au RGPD sans popup ?
Oui, si vous faites les bons réglages et que vous vous assurez de suivre les recommandations de la CNIL sur le sujet, que nous avons vu en profondeur dans cet article.
Cependant attention, d’autres traceurs peuvent nécessiter une confirmation de l’utilisateur. C’est par exemple le cas si vous utilisez le pixel Facebook. La dernière fois que j’ai vérifié, il posait un identifiant unique, isolait les visiteurs, et partageais les données avec Facebook : on a un combo gagnant ici !
Même si vous utilisez GA4 et que vous l’avez réglé correctement, ça ne vous dispense pas de collecter l’autorisation des visiteurs pour le reste lorsque c’est nécessaire.
En ce qui me concerne, je préfère me tenir éloigné de tout logiciel qui met ce genre de cookies ou qui touche aux données personnelles de mes visiteurs. Ça me permet de ne pas avoir de popup de cookie, et je trouve que c’est beaucoup mieux pour l’expérience finale des utilisateurs.
Devrais-je utiliser une alternative à Google Analytics ?
Je ne les ai jamais testées, mais de mon point de vue je n’en vois pas l’intérêt. De toutes façons, comme nous l’avons vu, Google Analytics peut être parfaitement anonyme dans sa collecte de données. En plus, vous allez devoir travailler avec un tas d’outils de Google pour gérer votre site, alors autant rester dans cet écosystème.
J’ouvre ma petite entreprise et le RGPD me stresse, vais-je finir en prison ?
Non, détendez-vous. Le RGPD n’est pas là pour martyriser les petites entreprises, c’est un règlement pour la protection des données personnelles des internautes. Faites de votre mieux pour le respecter et tout ira bien.
La CNIL est chargée avant tout de protéger les utilisateurs, pas de massacrer les TPE. Comme vous pouvez le constater sur leur page “Comprendre la chaîne répressive de la CNIL”, un manquement passera quasiment toujours par la case “explications et mise en demeure” avec un certain temps pour se conformer à leurs demandes.
À partir du moment où vous faites des efforts et que vous vous êtes sincèrement trompé, ne vous inquiétez donc pas.
Merci et à bientôt !
Merci d’avoir lu cet article jusqu’au bout. J’ai fait de mon mieux pour vous donner un maximum de sources vers lesquelles vous tourner si vous souhaitez aller plus loin. Bien sûr si vous avez des questions n’hésitez pas à me contacter.
À bientôt pour un prochain article !