L’utilisation de Google Analytics est soumise à certaines exigences en vertu du RGPD (Règlement général sur la protection des données). La protection des données et Google Analytics sont depuis longtemps en conflit. Au plus tard depuis l’arrêt de la CJCE sur le suivi, un opt-in a été prévu pour Google Analytics. Dans ce contexte, la question du traitement des cookies de Google Analytics est importante. Vous trouverez l’assistance des fournisseurs de gestion des consentements (CMP) pour l’intégration juridiquement sécurisée de Google Analytics. Avec les solutions de consentement aux cookies, vous contribuez à la protection des données dans Google Analytics.
Google Analytics en un coup d’œil : importance de la protection des données
La majorité des grands sites Web s’appuient sur des outils d’analyse pour tirer des conclusions sur le comportement des visiteurs. L’outil d’analyse des utilisateurs le plus populaire est de loin Google Analytics. Comme le montrent diverses statistiques, cet outil est utilisé sur environ la moitié de tous les sites Web, selon l’enquête. D’une part, cette popularité est due au fait que Google a accès à une quantité particulièrement importante de données d’utilisateurs . D’autre part, la popularité provient du fait qu’une large gamme de fonctions Google Analytics est gratuite pour tous les utilisateurs .
Google Analytics utilise des cookies pour évaluer les données des utilisateurs. Ces petits fichiers sont stockés dans le navigateur du visiteur. Les utilisateurs disposent de nombreuses options pour collecter différentes données en fonction de paramètres personnalisés. Google Analytics permet ensuite aux exploitants de sites Web de traiter et d’évaluer les données en fonction de divers paramètres. Sur cette base, des chiffres clés précieux tels que les pages vues, le comportement des utilisateurs ou la durée de séjour sur le site peuvent être suivis. Google Analytics permet également un suivi précis des actions individuelles , comme l’inscription à une newsletter ou le téléchargement de certains fichiers. Les options de suivi des conversions peuvent être utilisées pour déterminer les points auxquels les visiteurs deviennent des clients. Cela révèle un potentiel d’optimisation et contribue à une amélioration continue des performances des pages.
Du point de vue de la protection des données , les vastes quantités de données que Google Analytics collecte et évalue doivent être considérées d’un œil critique. En particulier, les responsables de la protection des données se plaignent du stockage et de la transmission des adresses IP complètes des visiteurs de Google (directement aux États-Unis). En outre, les défenseurs des données critiquent le fait que les règles de protection des données de Google ne fournissent pas suffisamment d’informations sur les données du visiteur du site qui sont effectivement collectées, stockées et transmises .
En raison de l’accès à de nombreuses données utilisateur, la protection des données dans Google Analytics a longtemps été controversée. Avec l’entrée en vigueur du RGPD (également RGPD : Règlement général sur la protection des données) et plus encore depuis l’arrêt de la CJUE sur les cookies en 2019, l’utilisation juridiquement sécurisée de Google Analytics est soumise à certaines exigences. Si Google Analytics n’est pas coordonné avec le GDPR, les opérateurs de sites peuvent faire face à des avertissements ou des amendes sévères .
Google Analytics : contexte juridique (RGPD et décision de la CJUE)
La coordination de Google Analytics avec le RGPD est devenue indispensable au plus tard depuis l’entrée en vigueur de ce dernier. Les autorités de protection des données ont menacé les opérateurs de sites Web d’amendes pour avoir utilisé cet outil dans le passé. Avant le RGPD, Google Analytics pouvait également être utilisé sans consentement, à condition que seules quelques exigences soient remplies (par exemple, anonymisation IP et contrat AV). Le GDPR était lié à l’espoir que la question du consentement ne serait réglementée qu’avec le règlement ePrivacy . Jusque-là, les exploitants de sites Web souhaitaient se prévaloir de l' »intérêt légitime » conformément à l’article 6, al. 1 lit. f GDPR nommé.
Un changement important est intervenu avec l’arrêt de la CJUE de 2019 dans l’ affaire Planet49 (Réf. : C-673/17). Le jugement est accompagné d’informations claires concernant le consentement à l’utilisation des cookies de Google Analytics et d’autres cookies. La conception du consentement doit être telle que les visiteurs doivent d’abord accepter expressément l’utilisation des cookies de Google Analytics. Par conséquent, Google Analytics s’appuie sur l’opt-in : les utilisateurs doivent d’abord donner leur accord volontairement avant même qu’un opérateur ne soit autorisé à collecter et traiter les cookies de Google Analytics. Il existe une exception concernant les cookies, qui sont absolument nécessaires au fonctionnement technique du site.
Dans son arrêt, la CJUE a souligné que le règlement ePrivacy (art. 5, par. 3) prévoyait déjà le consentement même pour les cookies qui ne sont pas absolument nécessaires. Des déclarations similaires de la CJUE sont déjà connues de la jurisprudence antérieure.
Les exigences légales pour l’utilisation des cookies de Google Analytics ont été réévaluées par le comité de coordination des autorités allemandes de contrôle de la protection des données (DSK) le 12 mai 2020. Avec cette résolution, il y a aussi un ajout au guide d’orientation pour les fournisseurs de télémédias . Ce guide d’orientation explique différents paramètres lors de l’utilisation de Google Analytics en termes d’utilisation conforme à la loi.
Utilisation conforme à la loi de Google Analytics : Mesures pour les exploitants de sites Web
Quiconque continue à s’appuyer sur Google Analytics en tant qu’opérateur de site Web, par exemple dans le secteur des médias ou dans le commerce électronique , est bien avisé de mettre en œuvre certaines mesures garantissant la sécurité juridique de l’outil de suivi.
Garantir la transparence des réglementations en matière de protection des données
Les opérateurs de sites Web doivent fournir des informations complètes sur l’utilisation et le traitement des données personnelles dans les réglementations sur la protection des données. Cette transparence doit être garantie conformément à l’article 13 du RGPD afin que Google Analytics puisse être coordonné avec le RGPD.
En ce qui concerne les exigences spécifiques de l’obligation d’information, les experts en protection des données se réfèrent aux lignes directrices sur la transparence du comité européen de la protection des données. Lors de l’adaptation de la déclaration de protection des données, au moins le contenu des informations suivantes doit être spécifié, en tenant compte des exigences DSK conformément aux articles 12 et 13 DSGVO : L’ étendue de la collecte de données doit être clairement communiquée. En outre, la déclaration de protection des données doit fournir des informations sur la base juridique sur laquelle les données sont collectées. De même, la politique de confidentialité doit être expliquée afin
combien de temps les données sont stockées. Dans ce contexte, la
Les critères de détermination de la période de stockage sont divulgués. La déclaration de protection des données doit également faire référence au droit de rétractation et à sa mise en œuvre.
Raccourcir l’adresse IP
Comme mesure supplémentaire pour coordonner Google Analytics avec le RGPD, les exploitants d’un site Web avec cet outil de suivi doivent faire en sorte que l’adresse IP soit raccourcie . Cela peut être implémenté en ajoutant la commande « _anonymizeIp() » au code de suivi. Cela fait référence à tout site Web qui a une intégration de Google Analytics. Les détails techniques sur ce type de troncature d’adresse IP peuvent être trouvés directement dans les instructions sur la page des développeurs de Google.
Le raccourcissement de l’adresse IP est une mesure importante pour protéger les utilisateurs conformément à l’article 25 al. 1 RGPD. Cependant , il ne suffit pas de raccourcir l’adresse IP pour garantir un traitement anonyme des données. Outre l’adresse IP pure, l’utilisation de Google Analytics implique la collecte de nombreuses autres données d’utilisation. Cela inclut les données personnelles, telles que celles utilisées pour identifier les utilisateurs (par exemple, dans le sens d’un lien vers un compte Google existant).
Par conséquent, même après que l’adresse IP a été raccourcie, d’autres exigences pour la coordination de Google Analytics avec le DSGVO doivent être respectées. De même, dans la déclaration de protection des données susmentionnée, une note doit indiquer si l’adresse IP a été raccourcie.
Détermination de la durée de conservation des données
Afin de coordonner Google Analytics avec le GDPR, il est également nécessaire de spécifier exactement quelle période de conservation est prévue pour les données. Google Analytics inclut certains contrôles de conservation des données . Le paramètre par défaut est conçu pour stocker automatiquement les données utilisateur et les données d’événement pendant 26 mois. Souvent, le bouton « Réinitialiser lors d’une nouvelle activité » est désactivé dans les paramètres par défaut. Ce bouton doit être désactivé pour coordonner Google Analytics avec le RGPD (comparer Art. 25 : Protection des données dès la conception). La durée de conservation des données doit être limitée à 14 mois .
Pour modifier la durée de conservation des données, la propriété à modifier doit être sélectionnée sous l’onglet « Gestion ». Dans la colonne « Propriété » correspondante, les paramètres de la durée de stockage peuvent être définis sous « Informations de suivi – stockage des données ». Après avoir sélectionné ici un paramètre différent, n’oubliez pas d’adapter la déclaration de protection des données à ces modifications.
Consentement exprès à l’utilisation de cookies
L’une des conditions préalables les plus importantes pour la conception conforme à la loi de l’utilisation de Google Analytics est la garantie d’un consentement aux cookies bien pensé . Le consentement d’un visiteur à l’utilisation de Google Analytics et des cookies doit contenir certaines informations : tout d’abord, le titre doit être clair et sans ambiguïté. Il doit montrer que l’utilisateur accepte le traitement des données par Google après avoir donné son consentement. En outre, les utilisateurs doivent être informés que dans le cadre du traitement des données, des données personnelles et des données sur le comportement d’utilisation du site Web sont transmises à Google . La demande de consentement doit également contenir des informations précises sur les types de données concernées.
Il est également pertinent de savoir que les données collectées sont principalement traitées par Google . Il convient de souligner que l’exploitant du site Web n’a aucune influence sur le traitement des données à cet égard. Google traite les données à ses propres fins (par exemple, le profilage).
Il est également important de savoir si les données collectées peuvent également être liées à des informations provenant d’autres sources. Des informations doivent également être ajoutées pour savoir si les données sont stockées aux États-Unis et si les autorités de l’État peuvent avoir accès à ces données.
Exigences techniques pour le consentement et le retrait
En outre, l’option de consentement ne doit pas représenter un consentement global à l’utilisation de cookies. Une condition technique importante pour le consentement est la participation active de l’utilisateur. L’utilisateur doit avoir la possibilité d’accepter activement l’utilisation des données. Cela exclut les cases pré-cochées ou les cases à cocher !
Ceci est associé à l’exigence selon laquelle l’outil de suivi et les cookies Google Analytics correspondants ne peuvent devenir actifs qu’après que les utilisateurs ont donné leur consentement actif. Les cookies de Google Analytics ne doivent pas être paramétrés au préalable.
Les données ne peuvent être collectées qu’après que les utilisateurs ont activement coché la case. De plus, ce consentement doit être volontaire. Ceci est également lié à la possibilité pour les utilisateurs de refuser leur consentement à tout moment.
En outre, il convient de s’assurer techniquement que les utilisateurs ne subissent aucun désavantage en cas de non-consentement. Les utilisateurs doivent disposer de solutions techniques claires et conviviales pour assurer et mettre en œuvre le consentement. Les outils de consentement offrent une possibilité pour cela. Ceux-ci devraient offrir la possibilité de révoquer ce consentement à tout moment, même après que le consentement a déjà été donné. Dans toutes les applications ou solutions de consentement aux cookies, il doit également y avoir une option facilement accessible pour une révocation effective dans les paramètres.
En principe, Google propose un module complémentaire de navigateur qui désactive Google Analytics. Il convient de noter qu’il ne suffit pas de renvoyer les utilisateurs vers cet add-on. Cela n’offre pas aux utilisateurs une possibilité de révocation suffisante. Selon l’article 7 par. 3 p.4 RGPD, la révocation du consentement doit être aussi simple que le consentement. Le module complémentaire de Google ne répond pas à ces exigences car il nécessite d’abord que l’utilisateur télécharge un programme sous la forme du module complémentaire.
Importance de la procédure d’opt-in
Le consentement actif et exprès à l’utilisation des cookies de Google Analytics est également connu sous le nom de procédure d’opt-in. La conception du consentement à l’utilisation doit être conçue comme un véritable opt-in Google Analytics au plus tard depuis l’arrêt de la CJCE sur les cookies. En principe, depuis les directives de protection des données de l’UE de 2009, il est prévu que les utilisateurs du site Web soient invités à donner leur consentement. Jusqu’à présent, cependant, de nombreux opérateurs ont interprété ce consentement comme un opt-out. Concrètement, cela signifie que les cookies sont collectés sans que l’utilisateur n’ait à faire quoi que ce soit. Les visiteurs ont uniquement la possibilité d’empêcher la collecte de cookies. Selon l’arrêt de la CJUE sur les cookies, un site Internet ne peut plus installer de cookies avant que le visiteur n’ait donné son consentement exprès et actif . Cela signifie que les cookies de Google Analytics ne peuvent être définis qu’après que le visiteur les a choisis (opt-in).
CMP : Solutions de gestion du consentement pour les sites Web et leurs avantages
Il est important que les exploitants de sites Web et les entreprises prennent des précautions à temps pour un consentement effectif à l’utilisation de Google Analytics. D’une part, les bannières de gestion du consentement fournissent aux utilisateurs des informations complètes sur l’utilisation des données et leur demandent en même temps de donner leur consentement.
La réalisation technique d’une gestion des cookies conforme à la loi bénéficie d’un consentement dit
Solutions. Un bon gestionnaire de consentement tient compte des exigences du RGPD et de l’arrêt de la CJUE ainsi que d’une expérience utilisateur positive. Les aspects les plus importants d’une expérience utilisateur positive incluent un long temps d’attente et un taux d’acceptation élevé . Par conséquent, le taux de rebond doit être maintenu aussi bas que possible. De bonnes solutions de gestion des consentements contribuent à augmenter le taux d’acceptation tout en minimisant le taux de rebond. De cette façon, ils assurent le bon fonctionnement du site et apportent leur contribution à l’acquisition et à la fidélisation de la clientèle.
Une solution de gestion des consentements bien pensée donne un aperçu en temps réel des taux d’acceptation et de rebond. Cela permet de tirer des conclusions précieuses sur les performances actuelles du site Web et le potentiel d’amélioration correspondant.
Les solutions de consentement sont orientées vers l’international . La bannière affichée apparaît automatiquement dans la langue respective du pays dans la zone RGPD à partir de laquelle le site Web est accessible. Dans l’ensemble, le fournisseur de gestion des consentements affiche les informations dans 29 langues. De même, une conception et une adaptation réactives vont de soi dans une solution de consentement moderne. La solution de consentement prend en compte l’appareil final, le système d’exploitation et la taille de l’écran et affiche la bannière de consentement de manière optimisée.
