Un guide pratique de risques lies a la confidentialite des donnees
TL;DR — Réponse rapide
6 min de lectureLes paramètres de rétention Google Analytics et le stockage de données basé aux États-Unis créent des risques de conformité GDPR que les organisations doivent gérer activement ou éviter complètement.
Ce guide explique risques lies a la confidentialite des donnees de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
La conservation des données Google Analytics est facile à mal comprendre. Dans GA4, les paramètres de conservation affectent les données au niveau de l'utilisateur et au niveau de l'événement utilisées dans les rapports d'exploration et d'entonnoir, et non dans les rapports agrégés standard. La documentation de Google répertorie 2 mois et 14 mois pour les propriétés standard, avec des options plus longues pour Google Analytics 360, et indique que les données sont automatiquement supprimées lorsqu'elles atteignent la fin de la période de conservation (GA4 data retention).
Ce paramètre n’est pas seulement pratique pour l’analyse. Il s'agit d'un contrôle de vie privée.
Pourquoi la rétention est importante sous GDPR
Le principe de limitation de la conservation du GDPR exige que les données personnelles soient conservées sous forme identifiable uniquement aussi longtemps que nécessaire à la finalité. Si les données brutes sur les événements sont conservées parce que « nous pourrions en avoir besoin un jour », le but est trop vague.
Les données analytiques peuvent inclure des données personnelles même lorsque les noms sont absents. Les données de l'appareil, les identifiants des cookies, les IDs utilisateur, le URLs complet, l'emplacement dérivé de IP, les paramètres d'événement et les séquences comportementales peuvent identifier ou distinguer une personne. Une conservation plus longue augmente l’impact des violations, les risques d’accès et l’exposition réglementaire.
Ce que la rétention GA4 résout et ne résout pas
Les contrôles de rétention GA4 peuvent réduire la durée pendant laquelle les données au niveau des événements restent disponibles pour certaines fonctionnalités d'analyse. Mais ils ne répondent pas à toutes les questions relatives à la vie privée :
- Les rapports agrégés standards ne sont pas affectés de la même manière.
- L'exportation BigQuery crée un ensemble de données distinct sous votre contrôle.
- Les produits liés peuvent avoir leur propre comportement de rétention.
- Les rapports téléchargés et les copies d'entrepôt nécessitent leur propre politique.
- Les questions de consentement et de transfert nécessitent encore une analyse distincte.
Si vous exportez des données GA4 vers BigQuery, Google indique que vous êtes propriétaire de ces données exportées et que vous gérez l'accès via les contrôles BigQuery (GA4 BigQuery export). Cela signifie que la responsabilité de la conservation vous incombe.
Modèles de rétention risqués
Les problèmes courants incluent :
- Quitter la conservation par défaut sans comprendre les besoins en matière de reporting.
- Exportation de données brutes vers un entrepôt sans calendrier de suppression.
- Conserver les identifiants des utilisateurs dans les analyses après la suppression du compte.
- Stockage des URLs pleine page contenant des e-mails, des jetons ou des termes de recherche.
- Donner au large personnel un accès aux données au niveau des événements.
- Conservation des données à des fins publicitaires après la désinscription des utilisateurs.
Un meilleur modèle de rétention
Utiliser des niveaux :
Temps réel et débogage : heures à jours. Utile pour les contrôles de déploiement et les enquêtes sur les incidents.
Analyse des événements bruts : 30 à 180 jours, selon les cycles du produit et la base légale.
Rapports agrégés : 12 à 36 mois pour l'analyse des tendances, sans identifiants personnels.
Documents financiers ou contractuels : distincts des analyses Web et conservés dans le cadre d'obligations comptables ou légales.
Documentez l’objectif de chaque niveau et automatisez la suppression. Les politiques de suppression manuelle échouent discrètement.
Avantage analytique axé sur la vie privée
Une plate-forme d'analyse axée sur la vie privée qui évite les cookies, les IDs persistants, les empreintes digitales et le stockage brut IP réduit le risque de rétention dès le début. Les mesures agrégées peuvent souvent être conservées plus longtemps car elles sont moins susceptibles d’identifier des individus. Les événements bruts peuvent être de courte durée ou complètement évités.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Le but n’est pas de supprimer l’historique utile. Il s'agit de conserver la forme d'historique la plus utile : tendances, conversions, campagnes et performances du contenu sans traces personnelles inutiles.
Liste de contrôle
- Vérifiez les paramètres de rétention GA4.
- Identifiez toutes les exportations et produits connectés.
- Définissez la conservation des événements bruts, des rapports et des tables d'entrepôt.
- Supprimez les données personnelles des paramètres de l'événement.
- Restreindre l’accès aux données au niveau des événements.
- Workflows de suppression de documents pour les demandes des utilisateurs.
- Examinez la rétention après des modifications majeures du produit ou des lois.
C’est dans la rétention que les promesses en matière de vie privée deviennent réelles. Si vous ne parvenez pas à expliquer pourquoi un ensemble de données existe toujours, il est probablement temps de l'agréger ou de le supprimer.
Rétention des propriétés d'événement
L'examen de la rétention doit inclure les propriétés des événements, et pas seulement les horodatages des événements. Une propriété telle que search_term, account_id, page_location ou checkout_step peut comporter plus de risques en matière de vie privée que le nom de l'événement. Si vous avez besoin d'analyses de recherche, envisagez de regrouper les requêtes, de supprimer les requêtes rares ou de revoir les termes du contenu sensible avant de les stocker.
Contrôles d'accès
Une conservation courte n’aide pas si trop de personnes peuvent exporter des données alors qu’elles existent. Limitez l’accès aux analyses brutes aux personnes qui en ont besoin, préférez les tableaux de bord agrégés pour la plupart des parties prenantes et enregistrez les exportations à partir des entrepôts de données. Les données analytiques semblent souvent à faible risque jusqu'à ce qu'elles soient combinées avec des données CRM, de facturation ou d'assistance. Les politiques d’accès doivent supposer que les jointures peuvent augmenter la sensibilité.
Modèle de politique de rétention
Rédigez la politique dans un langage commercial. Les événements d’analyse brute sont conservés pendant une courte fenêtre de diagnostic. Les rapports agrégés sont conservés plus longtemps pour l'analyse des tendances. Les propriétés des événements sensibles sont bloquées ou expurgées avant le stockage. Les exportations nécessitent un objectif nommé et expirent. Les paramètres de fidélisation des fournisseurs sont examinés après le lancement de produits, les modifications de campagne et les transferts d'agence. La documentation GA4 de Google sur la conservation des données montre que les paramètres de conservation affectent différemment les données au niveau de l'utilisateur et au niveau de l'événement. Les équipes ne doivent donc pas supposer qu'une seule option résout tous les risques.
Pour une configuration axée sur la vie privée, séparez trois couches. Premièrement, les événements opérationnels en temps réel utilisés pour vérifier le suivi. Deuxièmement, les événements bruts récents utilisés pour déboguer les formulaires, les campagnes et les entonnoirs. Troisièmement, regroupez les mesures historiques utilisées pour la stratégie. La plupart des équipes ont besoin de la troisième couche beaucoup plus longtemps que les deux premières. Cette conception conserve un historique utile tout en réduisant le risque que d'anciens identifiants, URLs, termes de recherche ou données personnelles accidentelles restent disponibles des années après l'expiration de l'objectif initial.
Actions d’audit de rétention
Créez un inventaire de rétention pour GA4 et chaque destination connectée. Enregistrez si la mesure améliorée, les signaux Google, la personnalisation des annonces, l'exportation User-ID, BigQuery, Consent Mode, la mesure inter-domaines et les paramètres spécifiques à la région sont activés.
Séparez ensuite ce qui doit rester brut de ce qui peut devenir une histoire globale. Conservez les données GA4 uniquement lorsque l'écosystème de reporting ou d'annonces de Google a un rôle justifié ; déplacez les pages de référence, les référents, les campagnes, les objectifs et les entonnoirs agrégés vers une configuration à moindre risque lorsque cela est possible.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de analyse web conforme RGPD
Découvrez comment analyse web conforme RGPD influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Google Analytics et vie privee
Découvrez comment Google Analytics et vie privee influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Google Analytics et GA4 sont-ils conformes au RGPD
Google Analytics et GA4 sont-ils conformes au RGPD ? Une analyse juridique complète qui explique pourquoi la conformité de GA4 dépend du consentement, de la configuration, des fonctionnalités publicitaires, des contrats, de la base de transfert et des données que vous envoyez.