Utiliser Google Tag Manager conforme RGPD – Quelle est la situation juridique ? Cet article vous informe sur le fonctionnement de Google Tag Manager, la relation juridique avec le RGPD et les solutions viables de consentement aux cookies.
Google Tag Manager et cookies – voici comment fonctionne l’outil
Le Google Tag Manager sert d’outil de gestion et de contrôle des cookies, des pixels de conversion ou des codes de suivi de programmes tels que Google Analytics ou Bing Ads. L’application elle-même fonctionne avec des balises et des déclencheurs et – comme on le suppose souvent – transmet les informations collectées sur le site Web via des cookies directement aux outils appropriés pour un traitement ultérieur. Les codes eux-mêmes, qui sont utilisés sur le site à des fins diverses (publicité, suivi…), ne sont pas stockés dans le code source du site, mais dans un conteneur spécial.
Travailler avec le gestionnaire de balises est efficace et simplifie la gestion du suivi et des cookies. Même les personnes ayant peu d’expérience en informatique sont capables d’intégrer les codes requis. Cela s’applique également au fonctionnement du gestionnaire de balises via l’interface Web simple et intuitive, qui ne nécessite également aucune connaissance d’expert. De plus, presque tous les tags et pixels dont vous avez besoin sont généralement disponibles sous forme de modèle . Les utilisateurs peuvent non seulement bénéficier d’applications (presque) obligatoires comme Google Analytics, mais aussi de Bing Ads, Google Ads ou d’outils de test comme AB Tasty.
Sans gestionnaire de balises, les extraits de code individuels devraient être insérés dans le code source du site Web avec un laps de temps correspondant. Cependant, des connaissances en programmation appropriées sont nécessaires pour que le site Web fonctionne correctement après « l’intervention ».
Confidentialité de Google Tag Manager
Le travail simple du Tag Manager garantit que le marketing est largement indépendant de l’informatique . Cela permet non seulement aux entreprises de gagner du temps, mais permet également d’allouer ailleurs de précieuses ressources informatiques. Les nombreux modèles du Google Tag Manager sont tout aussi avantageux. Le GTM fournit des modèles pour des programmes tels que Google Analytics, Google Ads Remarketing, Hotjar ou Tradedoubler, que vous pouvez ajouter rapidement et facilement. En détail, vous bénéficiez des avantages suivants :
- facile à utiliser via l’interface web
- Le mode Aperçu simplifie le test des balises
- nombreux modèles disponibles
- divers modèles de balises, de déclencheurs et de variables
- s’intègre parfaitement dans le cosmos de Google
Rendre Google Tag Manager conforme au RGPD
Le Google Tag Manager est considéré comme problématique depuis l’annulation de l’accord Privacy Shield par la Cour européenne de justice (CJUE) en juillet 2020 (« Schrems II »). L’accord sur le bouclier de protection des données prévoyait à l’origine que les consommateurs européens pouvaient compter sur le même niveau de protection des données lors du transfert de données à travers l’étang que celui qu’ils trouvent dans l’UE. Le problème : en raison de la situation juridique aux États-Unis, les autorités peuvent accéder aux données de géants américains tels que Microsoft, Google ou Amazon via la loi de surveillance de l’État. Pour le Google Tag Manager et les applications qui lui sont liées, cela signifie que le transfert de données peut théoriquement être mis en œuvre au mieux sur un corridor technico-juridique très étroit. Dans la pratique, cependant : selon Schrems II, des applications telles que Google Analytics & Co ne peuvent pas être appliquées de manière conforme à la loi .
Cela s’applique-t-il également à Google Tag Manager ? En principe, cela signifie que Google Tag Manager lui-même ne place aucun cookie et ne gère que les cookies d’AdSense ou de Google Analytics dans un conteneur. Du point de vue du RGPD, le problème est l’ajout au traitement des données (12 avril 2021) :
« Si vous avez indiqué que vous êtes situé dans l’Espace économique européen (EEE) lors de la création de votre compte, vous avez déjà accepté l’Avenant relatif au traitement des données dans le cadre des Conditions d’utilisation. »
Avenant Google Tag Manager au traitement des données
Pourtant, le règlement sur la protection des données exige de la transparence, alors que les informations sur le traitement des données par le géant des moteurs de recherche restent nébuleuses et vagues :
« Notre utilisation des données de Google Tag Manager
Confidentialité Google
Nous pouvons collecter des informations telles que la manière dont le service est utilisé, et comment et quelles balises sont déployées. Nous pouvons utiliser ces données pour améliorer, maintenir, protéger et développer le service comme décrit dans notre politique de confidentialité, mais nous ne partagerons ces données avec aucun autre produit Google sans votre consentement. »
Google affirme ici qu’il ne relie aucune donnée à d’autres services Google sans consentement ; cependant, cela n’empêche en rien la divulgation à des tiers. Il n’est pas clair non plus si la collecte de données est absolument nécessaire ou si elle va au-delà de la simple nécessité (technique).
En raison de ces incertitudes, Google Tag Manager ne doit jamais être exécuté sans le consentement de l’utilisateur . D’autant plus que, selon toute apparence, le Google Tag Manager définit lui-même les cookies comme un outil de contrôle et d’administration, même si des déclarations communes pointent dans une direction différente. Il est affirmé que GTM envoie uniquement des données d’un site Web aux outils connectés correspondants.
Selon cette lecture, la gestion des cookies, c’est-à-dire l’installation, la modification et la suppression, n’a lieu que dans des applications telles que Google Analytics. Cela permet au GTM de travailler main dans la main avec les Cookie Consent Managers. Lorsque les balises et les déclencheurs peuvent être bloqués par le visiteur du site Web dès le départ, les cookies non essentiels ne sont plus définis. Cependant, l’avantage du contrôle central des outils marketing importants a disparu, car aucune des applications n’est autorisée à collecter des données.
Dans ce contexte, cependant, les blogs soulignent que les données (adresse IP, informations du navigateur, langue, …) et éventuellement les cookies sont déjà transférés lors du chargement de Google Tag Manager avant que Google Analytics et Co. ne soient lus. Dans la perspective de Schrems II, cette situation est discutable, car des données sont envoyées de l’autre côté de l’étang vers les États-Unis, un État qui, après Schrems II, était considéré comme un « pays tiers dangereux » en raison de nombreux scandales de données. Un autre problème est la nécessité d’expliquer tous les outils utilisés, y compris les GTM, conformément à l’article 13 RGPD, puisque ces outils devraient au moins être expliqués dans la déclaration de protection des données .
Tiens-toi à jour!
S’inscrire à la NewsletterGoogle Tag Manager et la fonction opt-in
Google Tag Manager s’avère plus compatible avec le RGPD en ce qui concerne l’opt-in. Le contexte : depuis l’arrêt de la CJCE sur le consentement aux cookies du 1er octobre 2019, les utilisateurs doivent donner leur accord actif à l’utilisation des cookies et cliquer eux-mêmes ou non sur les cases à cocher correspondantes. Pour empêcher l’installation de cookies sans consentement actif, configurez l’opt-in via Google Tag Manager. Cela garantit la protection des données dans Google Tag Manager.
Pour configurer l’opt-in dans Google Tag Manager, créez une variable, un déclencheur et le TAG. Définissez le déclencheur et bloquez l’analyse après avoir défini le cookie. Enfin, implémentez un lien HTML prédéfini sur la page d’impression ou de protection des données du site Web. Si le CMS empêche la mise en œuvre du lien, un événement onload est requis en modifiant le code de la balise et en ajustant le déclencheur en conséquence.
La configuration de la fonction d’opt-in via Google Tag Manager est relativement simple en raison des instructions facilement compréhensibles disponibles en ligne et ne nécessite pas nécessairement des connaissances informatiques approfondies.
Google Tag Manager – RGPD et outils de consentement aux cookies
Ce n’est que si vous ne tenez pas compte des problèmes GDPR et Schrems II que vous pouvez toujours citer la commodité de base de Google Tag Manager comme un avantage. Cela résulte de l’intégration simple et simple des solutions de consentement aux cookies dans l’application Google. La bannière de consentement aux cookies sert d’intermédiaire entre les options d’opt-in définies dans les GTM et le visiteur du site Web, qui doit être libre de décider d’accepter les cookies ou une sélection d’entre eux ou de refuser tous les cookies.
En conséquence, les réglementations sur la protection des données entraînent une répartition des tâches et une coopération entre les solutions de contenu de cookies et Google Tag Manager. Le Google Tag Manager est suffisant pour les paramètres d’opt-in par défaut. Afin de rendre le Google Tag Manager DSGVO conforme, les solutions de consentement aux cookies sont indispensables, car elles présentent au visiteur du site une fenêtre de sélection pour accepter ou refuser les cookies. Tant que l’utilisateur ne donne pas son consentement, Google Tag Manager continuera à bloquer les cookies à paramétrer. Ce n’est que lorsque le visiteur du site a activement consenti aux cookies que les cookies correspondants seront stockés sur l’appareil final de l’utilisateur.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Solutions de consentement aux cookies pour plus de sécurité et de commodité
Le marché offre une variété de solutions différentes pour assurer la conformité au RGPD ainsi qu’aux directives ePrivacy relatives aux cookies et au suivi. Il existe des solutions qui bloquent essentiellement tous les cookies et traceurs et ne les libèrent que dès que le visiteur du site est d’accord. Dans ce cas, il ne serait théoriquement pas nécessaire de configurer l’opt-in dans Google Tag Manager.
D’autres solutions de gestion du contenu des cookies offrent des services étendus en exécutant tous les services Google dans un réseau sous l’interface du site Web et en générant la fenêtre de sélection pour le visiteur du site. C’est ainsi que vous soutenez les solutions de consentement aux cookies pour rendre le Google Tag Manager DSGVO conforme. Cependant, en raison de la situation juridique actuelle, la prétendue commodité de Google Tag Manager se transforme en territoire miné. La seule solution serait moins pratique : pourquoi ne pas utiliser un gestionnaire de balises qui s’exécute localement sur votre propre serveur au lieu d’utiliser un gestionnaire externe ?
La solution adaptée individuellement pour chaque exploitant de site Web
Le bandeau de consentement est la fenêtre de sélection qu’une solution de consentement aux cookies présente au visiteur du site pour autoriser ou refuser le stockage des cookies. Ces fenêtres varient en termes de convivialité, s’adaptent souvent à la présentation du site Web et interagissent avec Google Tag Manager pour assurer la conformité au RGPD. Parce que le Tag Manager n’annule l’opt-in que si le visiteur du site accepte le stockage des cookies.
Le marché propose une large gamme de puissantes solutions de consentement aux cookies, également appelées fournisseurs de gestion du consentement (CMP). Dans certains cas, vous pouvez adapter de manière optimale les solutions aux exigences de votre entreprise ou de votre site Web. Cela inclut l’intégration d’outils d’analyse existants, la conception individuelle de la fenêtre d’opt-in ou le préréglage de la sélection de cookies pour le visiteur du site.
En tant qu’entreprise, vous avez le choix entre des solutions gratuites et payantes. Les petites entreprises en particulier optent souvent pour des solutions gratuites dans un premier temps. Cependant, assurez-vous que la CMP sélectionnée répond de manière fiable aux exigences du RGPD.
Exigences du RGPD pour les fournisseurs de gestion des consentements
Le RGPD n’est pas seulement un problème pour Google Tag Manager, mais aussi pour les exigences relatives à la conception du contenu d’une bannière de consentement. Ces points ont également été confirmés par un arrêt de la CJCE et sont donc contraignants.
- Les destinataires des données doivent être présentés clairement
- présentation claire de l’activité d’informatique, de marketing, d’analyse, etc.
- Le visiteur du site doit pouvoir sélectionner ou désélectionner chaque classification individuellement
- pas de présélection des destinataires et des activités
- tous les cookies doivent être bloqués jusqu’à ce que l’utilisateur accepte
Autres points importants qu’une solution de consentement puissante doit respecter et que vous devez absolument garder à l’esprit avant de choisir un produit du fournisseur :
- Emplacement de stockage du consentement – localement sur l’appareil de l’utilisateur ou dans une base de données (important pour la capacité de l’opérateur du site à fournir des informations)
- Quelles options l’utilisateur dispose-t-il pour révoquer son consentement ou pour vérifier l’état de son propre consentement ?
- Durée de vie des cookies
- Existe-t-il des informations détaillées sur le traitement des données ?
- La finalité d’un cookie est-elle clairement reconnaissable ?
Que vous utilisiez un outil payant ou gratuit : n’optez que pour la solution de consentement aux cookies d’un prestataire de gestion du consentement répondant à ces exigences.
Conclusion
Bien sûr : le Google Tag Manager simplifie considérablement l’intégration d’outils courants, notamment à des fins marketing. Néanmoins, l’intégration s’est avérée problématique au plus tard avec l’arrêt de la CJCE de juillet 2020 dit Schrems II. Les données pénètrent aux États-Unis via l’utilisation du GTM (et d’autres outils connectés) et offrent ainsi des cibles pour les poursuites et les amendes. Toujours du point de vue du RGPD, le Google Tag Manager fonctionne tout sauf conforme au RGPD en raison de déclarations peu claires au sujet du traitement des données. Une intégration juridiquement parfaite du GTM est donc quasiment impossible. La seule perspective qui reste actuellement est de ne le charger qu’après consentement via un fournisseur de consentement de cookie tel que consentmanager par précaution. Cependant, cela ne signifie pas que vous êtes du bon côté.