Un guide pratique de analyse web conforme RGPD
TL;DR — Réponse rapide
5 min de lecturePlusieurs autorités de protection des données de EU ont jugé illégales des implémentations spécifiques de Google Analytics après Schrems II. La conformité actuelle dépend de la configuration, du consentement, de la minimisation des données, des contrats, de la base de transfert et des règles locales ePrivacy.
Ce guide explique analyse web conforme RGPD de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
Une analyse Web conforme à GDPR est possible, mais elle nécessite plus que l'ajout d'une bannière de cookies. La configuration analytique doit avoir une base légale, respecter les règles ePrivacy, minimiser les données personnelles, gérer les transferts légalement et fournir aux utilisateurs des informations claires.
Le problème est devenu plus visible après Schrems II, lorsque la Cour de justice a invalidé le Privacy Shield et chargé les organisations d'évaluer les risques liés aux transferts vers des pays tiers (CJEU C-311/18). Plusieurs régulateurs européens ont par la suite jugé certaines mises en œuvre de Google Analytics illégales parce que les données étaient transférées aux États-Unis sans garanties adéquates, notamment l'analyse de la mise en demeure du CNIL français (CNIL décision anonymisée) et l'affaire du DSB autrichien résumée par noyb (Austrian DSB Google Analytics décision).
Ce que l'analyse conforme doit résoudre
Une configuration prête pour GDPR nécessite des réponses à cinq questions.
Quelles données sont collectées ? Les adresses IP, le cookie IDs, les IDs utilisateur, les données de l'appareil, URLs, les termes de recherche et les propriétés de l'événement peuvent être des données personnelles.
Pourquoi sont-ils collectés ? Définissez des objectifs tels que la mesure des performances, l'amélioration du contenu, le suivi des conversions ou la sécurité. Évitez les réutilisations vagues.
Quelle base juridique s'applique ? Le consentement est souvent requis pour les cookies et les traceurs publicitaires. Des intérêts légitimes peuvent être pris en compte pour les analyses de première partie à faible risque, mais cela nécessite un test d'équilibre et peut ne pas satisfaire aux règles de consentement ePrivacy dans tous les pays.
Où vont les données ? Cartographiez les processeurs, les sous-processeurs, l'accès au support, les journaux, les sauvegardes et les transferts.
Combien de temps sont-elles conservées ? Les données brutes d'événements doivent avoir une période de conservation définie.
Google Analytics zones à risque
GA4 inclut des contrôles plus stricts que l'ancien Universal Analytics, et Google indique que GA4 n'enregistre ni ne stocke les adresses IP (Garanties Google). Mais les propriétaires de sites Web doivent toujours évaluer les cookies, les données des appareils, les signaux Google, les fonctionnalités publicitaires, les paramètres de partage de données, Consent Mode, les contrats, les contrôles régionaux et les transferts internationaux. Le cadre de vie privée des données EU-US peut être pertinent lorsqu'un destinataire américain certifié est impliqué, mais il ne remplace pas le travail de consentement, de minimisation, de transparence ou de limitation des finalités de ePrivacy.
La principale erreur de conformité consiste à traiter Google Analytics comme automatiquement légal ou illégal dans toutes les situations. La bonne réponse dépend de la configuration, du pays, du mécanisme de transfert, du comportement de consentement et de l'activation ou non des fonctionnalités publicitaires. Pour de nombreuses équipes soucieuses de la vie privée, le choix le plus simple consiste à éviter une grande partie de cette complexité.
Architecture d'analyse plus sûre
Une pile d’analyse axée sur la vie privée comprend généralement :
- Pas de cookies tiers.
- Pas de suivi intersites.
- Aucune empreinte digitale.
- Pas de stockage des adresses complètes IP.
- Aucune donnée personnelle dans les propriétés de l'événement.
- EU ou traitement adéquat dans le pays si possible.
- Rapports agrégés par défaut.
- Rétention courte pour les événements bruts.
- Une liste claire de DPA et de sous-processeurs.
Cela ne dispense pas l’organisation de l’analyse juridique, mais cela réduit les risques et facilite l’analyse.
Liste de contrôle de configuration pratique
- Auditez les scripts actuels avec les outils de développement du navigateur.
- Supprimez les balises et les pixels inutilisés.
- Décidez quelles mesures sont réellement nécessaires.
- Choisissez un outil prenant en charge la mesure sans cookie.
- Supprimez les paramètres de requête pouvant contenir des données personnelles.
- Écrivez une politique de dénomination des événements.
- Documentez la base juridique et le comportement de consentement par pays.
- Examinez les transferts de données et les contrats des fournisseurs.
- Définissez des périodes de conservation.
- Mettez à jour l'avis de vie privée.
Ce qu'il faut éviter
Évitez la relecture de session sur des pages sensibles, la collecte de saisies de texte libre, l'envoi de l'utilisateur connecté IDs vers des plateformes publicitaires, l'activation par défaut de toutes les fonctionnalités de mesure « améliorées » et l'hypothèse d'une anonymisation lorsque les données sont simplement pseudonymes.
Les analyses conformes à GDPR sont principalement une retenue disciplinée. Mesurez les éléments qui améliorent le site Web, pas tout ce qu'un navigateur peut révéler.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Consentement vs intérêts légitimes
Les équipes souhaitent souvent une réponse universelle quant à savoir si les analyses peuvent être exécutées dans le cadre d’intérêts légitimes. Il n’y a pas de réponse universelle. Une configuration d’analyse globale de première partie, sans cookies, utilisée uniquement pour comprendre les performances du site Web peut être plus facile à justifier dans certaines juridictions. Les analyses qui définissent des identifiants, suivent les utilisateurs au fil des sessions, partagent des données avec des plateformes publicitaires ou permettent le profilage nécessitent généralement le consentement selon les règles ePrivacy et peuvent être plus difficiles à justifier selon les intérêts légitimes GDPR.
Documentez votre raisonnement. Si vous comptez sur des intérêts légitimes, gardez un équilibre. Si vous comptez sur le consentement, rendez le refus aussi simple que l'acceptation et assurez-vous que les balises ne se déclenchent pas avant le consentement.
déclencheurs DPIA
Envisagez un DPIA lorsque l'analyse implique des personnes vulnérables, des pages sensibles, un profilage à grande échelle, une localisation précise, des données sur des enfants, des contextes de santé ou financiers, ou des transferts transfrontaliers avec des fournisseurs à haut risque. Un DPIA n’est pas seulement un artefact juridique ; cela oblige l'équipe à définir si les données valent le risque.
Un exemple de mise en œuvre pratique
Pour un site marketing SaaS typique, commencez par autoriser uniquement les pages vues, les référents, les paramètres UTM, la classe d'appareil, le pays et un petit ensemble d'événements de conversion tels que signup_started, demo_requested et checkout_completed. Supprimez les adresses e-mail, le IDs de compte, recherchez du texte et invitez les jetons des URLs avant que les analyses ne les voient. Conservez les paramètres de campagne, mais définissez une liste verte afin que les valeurs accidentelles telles que ?email= ou ?customer_id= soient supprimées.
Testez ensuite l’implémentation dans un profil de navigateur propre. Rejetez les cookies facultatifs, rechargez le site et inspectez le stockage du réseau et des applications. Le résultat doit correspondre à la déclaration de vie privée et à la base juridique que vous avez documentée. Si le navigateur affiche toujours des appels de tiers ou des identifiants persistants, l’histoire de la conformité n’est pas terminée.
Preuves de conformité à conserver
Conservez un ensemble de preuves analytiques : inventaire des événements, objectif de chaque événement, comportement de stockage et de consentement par région, mécanisme de transfert, contrats de fournisseur, paramètres de conservation, fonctionnalités publicitaires activées et captures d'écran ou journaux des tests du navigateur. Traitez le libellé GDPR comme un objectif de mise en œuvre, et non comme une conclusion juridique générale concernant le nom d'un outil.
Testez ensuite la page dans un profil de navigateur propre et comparez le résultat avec l'avis de vie privée. Si le navigateur affiche toujours des appels tiers non planifiés, des identifiants persistants ou des données de chaîne de requête après le rejet, l'histoire de la conformité est inachevée.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de risques lies a la confidentialite des donnees
Découvrez comment risques lies a la confidentialite des donnees influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Google Analytics et vie privee
Découvrez comment Google Analytics et vie privee influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Google Analytics et GA4 sont-ils conformes au RGPD
Google Analytics et GA4 sont-ils conformes au RGPD ? Une analyse juridique complète qui explique pourquoi la conformité de GA4 dépend du consentement, de la configuration, des fonctionnalités publicitaires, des contrats, de la base de transfert et des données que vous envoyez.