Un guide pratique de Google Analytics CCPA est-il conforme

Ce guide explique Google Analytics CCPA est-il conforme de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Le CCPA ne demande pas simplement si un outil est « conforme ». Il demande quelles informations personnelles sont collectées, pourquoi elles sont collectées, qui les reçoit, si elles sont vendues ou partagées, si des informations personnelles sensibles sont impliquées et si les consommateurs peuvent exercer leurs droits.

Google Analytics peut s'intégrer dans un programme de conformité CCPA, mais la configuration est importante. Une configuration d'analyse minimale est différente de GA4 liée à Google Ads, aux audiences de remarketing, aux conversions améliorées et au partage de données entre produits.

Pourquoi les données analytiques peuvent être des informations personnelles

Le CCPA définit les informations personnelles au sens large. Il peut s’agir d’identifiants en ligne, d’activités sur Internet, de géolocalisation, d’informations commerciales et de déductions. La FAQ de la CPPA explique que les informations personnelles sensibles peuvent inclure une géolocalisation précise, des informations sur la santé, des identifiants gouvernementaux, des données d'accès au compte et d'autres catégories.

L'analyse du site Web peut collecter ou transmettre :

• Emplacement dérivé de IP.
• Cookies ou identifiants d'appareil.
• Page URLs.
• Référents.
• Paramètres de recherche ou de campagne.
• Détails du navigateur et de l'appareil.
• Événements tels que les inscriptions, les achats et les soumissions de formulaires.

Si URLs ou des événements contiennent des données personnelles, le risque augmente rapidement. Un chemin de page tel que /conditions/diabetes-care ou un paramètre de requête contenant une adresse e-mail peut transformer des analyses de routine en divulgations sensibles.

Intégrations de vente, de partage et de publicité

Sous les noms de domaine CCPA/CPRA, le « partage » inclut la divulgation d'informations personnelles à des fins de publicité comportementale intercontextuelle. C'est pourquoi l'analyse devient plus complexe lorsqu'elle est connectée aux plateformes publicitaires.

Si les données GA4 sont utilisées pour créer des audiences, optimiser les publicités, recibler les visiteurs ou relier le comportement d'un site Web aux services publicitaires de Google, l'entreprise doit évaluer si elle vend ou partage des informations personnelles et si un mécanisme « Ne pas vendre ou partager mes informations personnelles » est requis.

Google propose des conditions et des paramètres liés aux lois américaines sur la vie privée et au traitement restreint des données. Son Addendum sur le contrôleur des lois de vie privée de l'État indique que les clients sont responsables de leur conformité et décrit les paramètres de traitement des données restreints. L'aide de Google Ads indique également qu'Analytics peut agir en tant que fournisseur de services dans certains contextes de traitement de données restreints, à moins que les données ne soient exportées ou partagées avec d'autres produits.

La leçon de conformité : ne présumez pas que la configuration par défaut est suffisante. Examinez chaque lien de produit et paramètre de partage de données.

Global Privacy Control

La Californie attend des entreprises qu’elles respectent les signaux de préférence de désinscription valides dans les circonstances applicables. Global Privacy Control est le signal le plus courant au niveau du navigateur. Si votre site vend ou partage des informations personnelles, votre système de consentement et de balise doit détecter et respecter GPC, et pas seulement afficher un lien de pied de page.

Pour l’analyse, cela peut signifier :

• Blocage des balises publicitaires lorsque GPC est présent.
• Désactivation de la création d'audience.
• Empêcher le partage de données avec les plateformes publicitaires.
• Enregistrement de l'état de désinscription sans créer de nouveau profil de suivi.

Zones à risque pratiques GA4

URLs complet et chaînes de requête

GA4 peut recevoir la page URLs. Si votre URLs contient des e-mails, des noms, une commande IDs, des jetons de réinitialisation, des termes de recherche ou des détails sur votre santé, vous pouvez envoyer des informations personnelles involontairement. Corrigez les paramètres de conception et de bande URL avant la collecte.

Suivi des formulaires

N'envoyez pas les valeurs des champs de formulaire à GA4. Les politiques Google Analytics interdisent l'envoi de données que Google pourrait reconnaître comme informations personnellement identifiables, et les HIPAA et les directives Analytics de Google rappellent que les clients ne doivent pas transmettre d'informations personnelles ou d'informations sensibles à Analytics.

Google Ads liaison

Lier GA4 à Google Ads peut modifier l’utilisation des données. Vérifiez si les audiences, les conversions et le remarketing sont activés. Si vous n'en avez pas besoin, éteignez-les.

Confusion du mode consentement

Le mode de consentement de Google contrôle le comportement des balises Google en fonction des signaux de consentement. Il ne s'agit pas en soi d'un avis de vie privée, d'un mécanisme de désinscription CCPA ou d'une preuve que votre implémentation est conforme. Google documente les types de consentement tels que analytics_storage, ad_storage, ad_user_data et ad_personalization dans sa documentation sur les types de consentement.

Une liste de contrôle CCPA pour Google Analytics

1. Mettez à jour l'avis de vie privée avec les catégories de données analytiques collectées.
2. Expliquez les objectifs, la rétention et les catégories de fournisseurs.
3. Vérifiez si les données GA4 sont vendues ou partagées, notamment via des intégrations publicitaires.
4. Fournissez des contrôles « Ne pas vendre ou partager » si nécessaire.
5. Honorez Global Privacy Control le cas échéant.
6. Désactivez les liens de produits Google inutiles et le partage de données.
7. N'envoyez pas de PII, de données sensibles ou de valeurs de formulaire.
8. Supprimez les données personnelles des URLs et des paramètres d’événement.
9. Définissez des workflows de suppression pour les données analytiques lorsque cela est possible.
10. Documentez le rôle de Google et les conditions applicables.

L’alternative axée sur la vie privée

Si votre objectif d'analyse de site Web est une mesure globale, vous n'aurez peut-être pas besoin de GA4. Un outil d'analyse sans cookie qui évite les identifiants personnels et la réutilisation publicitaire peut réduire les obligations de CCPA car il collecte moins d'informations personnelles et crée moins de questions de vente/partage.

La meilleure stratégie de conformité CCPA ne consiste pas à regrouper davantage de texte juridique autour d'une pile à partage élevé. Cela permet de collecter moins de données, de partager moins de données et de rendre les choix plus faciles à honorer techniquement.

Un modèle de configuration plus sûr

Si vous conservez GA4 sous un programme CCPA, commencez par la configuration la plus étroite : analyses uniquement, pas de personnalisation publicitaire, pas d'audiences de remarketing, pas de liens de produits inutiles, pas d'utilisateur IDs, pas de PII dans URLs et traitement des données restreint le cas échéant. Ajoutez ensuite des fonctionnalités uniquement lorsque le propriétaire de l'entreprise peut expliquer l'objectif, que l'examen juridique est terminé et que la voie de désinscription est techniquement appliquée.

Cela inverse le schéma habituel. Au lieu d'activer l'ensemble de la pile Google et d'essayer d'écrire une politique autour de celle-ci, commencez par des mesures minimales et justifiez chaque expansion.

Conserver les preuves

Documentez chaque paramètre GA4 sur lequel vous comptez pour la conformité CCPA : traitement des données restreint, liens vers des produits, personnalisation des annonces, comportement de consentement et gestion des désinscriptions. Les captures d'écran et les dates de modification sont importantes, car les examens de vie privée ont souvent lieu des mois après la modification d'une balise.

Vérification de l'implémentation de CCPA

Examinez ensemble les pixels publicitaires, les destinations du gestionnaire de balises, les conversions côté serveur APIs, les fournisseurs d'enrichissement et les propriétés des événements d'analyse. La question clé est de savoir si un fournisseur reçoit des données à des fins de publicité comportementale intercontextuelle ou pour toute autre utilisation nécessitant une voie de désinscription californienne.

Si l'analyse globale répond à la question commerciale, préférez-la au partage au niveau des visiteurs. Si le partage reste nécessaire, confirmez l'avis, le lien de désinscription, la gestion de Global Privacy Control, les limites de données sensibles, les conditions du fournisseur, la conservation et la preuve de chaque paramètre.