Un guide pratique de Google Analytics et GA4 sont-ils conformes au RGPD

Ce guide explique Google Analytics et GA4 sont-ils conformes au RGPD de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

La réponse honnête est la suivante : GA4 peut être configuré de manière plus respectueuse de la vie privée que les anciennes installations Universal Analytics, mais un déploiement standard de GA4 n'est pas automatiquement conforme au RGPD. La conformité dépend de la configuration, du consentement, du mécanisme de transfert, des finalités, des contrats, des paramètres régionaux et des données que vous envoyez.

Ceci ne constitue pas un avis juridique, mais c'est une manière pratique d'analyser le risque.

Pourquoi la question se pose

L'application européenne concernant Google Analytics découle de l'arrêt Schrems II, la décision de la CJUE de 2020 qui a invalidé le Privacy Shield UE-États-Unis et a imposé aux exportateurs utilisant les Clauses Contractuelles Types d'évaluer si le droit du pays de destination offre une protection essentiellement équivalente (Affaire CJUE C-311/18). Après cet arrêt, noyb a déposé 101 plaintes contre des sites utilisant Google Analytics ou Facebook Connect.

Plusieurs autorités ont ensuite contesté des implémentations spécifiques de Google Analytics. Le Garante italien a constaté qu'un site utilisant Google Analytics transférait des données d'utilisateurs vers les États-Unis sans garanties suffisantes et a souligné que les adresses IP constituent des données personnelles dans ce contexte (Garante). L'IMY suédoise a ensuite ordonné à des entreprises de cesser d'utiliser la version auditée de Google Analytics et a infligé des amendes dans deux affaires (IMY).

Ce que GA4 a amélioré

GA4 a modifié certains aspects du produit. Il est basé sur les événements, propose des contrôles de conservation des données plus granulaires et offre des fonctionnalités liées au consentement. Google documente également des événements clés modélisés pour les cas où les conversions ne peuvent pas être directement observées en raison de limites techniques, de confidentialité ou multi-appareils (Événements clés modélisés GA4).

Ces améliorations comptent. Elles peuvent réduire certains risques liés à la collecte et à la publicité lorsqu'elles sont utilisées correctement. Mais elles ne suppriment pas la nécessité d'une analyse RGPD.

Les principales questions de conformité

Un responsable du traitement utilisant GA4 devrait pouvoir répondre au moins à ces questions :

• Quelle base légale s'applique au traitement analytique ?
• Le consentement est-il requis en vertu des règles ePrivacy locales parce que des cookies ou un stockage sur l'appareil sont utilisés ?
• Google Signals, la personnalisation publicitaire, le remarketing ou les paramètres granulaires de localisation/d'appareil sont-ils activés ?
• Des URL complètes sont-elles envoyées et peuvent-elles contenir des données personnelles ?
• Un identifiant utilisateur ou client est-il transmis à Google ?
• Quelle durée de conservation est configurée ?
• Quelle entité Google traite les données et où ?
• Quel mécanisme de transfert s'applique si les données quittent l'EEE ?
• L'organisation s'appuie-t-elle sur le Cadre de protection des données UE-États-Unis, sur les CCT ou sur un autre mécanisme ?
• La déclaration de confidentialité explique-t-elle clairement le traitement ?

Si une équipe ne peut pas répondre à ces questions, elle ne devrait pas affirmer que GA4 est conforme.

Le Cadre de protection des données UE-États-Unis a changé la donne

La Commission européenne a adopté une décision d'adéquation pour le Cadre de protection des données UE-États-Unis le 10 juillet 2023 (Commission européenne). Cela donne aux organisations américaines certifiées une nouvelle base pour les transferts UE-États-Unis. Il s'agit d'une évolution importante qui devrait faire partie de toute analyse actuelle, aux côtés des CCT ou d'autres mécanismes lorsque le DPF n'est pas disponible.

Mais l'adéquation ne résout pas tout. La conformité au RGPD exige également la limitation des finalités, la minimisation des données, la transparence, la sécurité, le contrôle de la conservation, les conditions applicables aux sous-traitants et un consentement valide lorsque celui-ci est requis. Un mécanisme de transfert n'est qu'une couche parmi d'autres.

Consentement et cookies

Si GA4 est déployé avec des cookies ou un accès similaire à l'appareil, le consentement peut être requis avant l'exécution du script, selon la juridiction et la configuration. Le rapport du groupe de travail sur les bandeaux de cookies du CEPD explique que le dépôt et la lecture de cookies sont régis par les règles ePrivacy nationales, tandis que le traitement ultérieur peut relever du RGPD (Groupe de travail du CEPD sur les bandeaux de cookies).

Le consentement doit être réel. Les lignes directrices du CEPD sur le consentement soulignent qu'un consentement valide doit être donné librement, être spécifique, éclairé et univoque (Lignes directrices du CEPD sur le consentement). Les cases pré-cochées, les parcours de refus déroutants ou un consentement publicitaire groupé constituent des bases fragiles.

Pratiques GA4 fréquemment risquées

Évitez les pratiques suivantes, sauf approbation explicite de votre équipe juridique :

• Envoyer des adresses e-mail, des identifiants client, des numéros de commande ou des requêtes de recherche contenant des données personnelles.
• Laisser des paramètres de requête sensibles dans les URL des pages.
• Activer des fonctionnalités publicitaires sans un modèle de consentement valide.
• Considérer la troncature ou l'agrégation des IP comme une solution d'anonymisation complète.
• Utiliser les données GA4 à des fins non divulguées dans votre déclaration de confidentialité.
• Supposer qu'un bandeau de consentement résout tous les problèmes de transfert et de minimisation.

Une alternative axée sur la confidentialité

Pour de nombreuses organisations, la vraie question n'est pas « Peut-on rendre GA4 conforme ? » mais « Avons-nous besoin de GA4 ? » Si vous dépendez fortement de Google Ads, des conversions modélisées et de l'export BigQuery, GA4 peut justifier l'effort. Si vous avez besoin du trafic du site, des référents, des campagnes, des objectifs et des événements de revenus, un outil d'analyse sans cookies peut être plus simple à déployer et à expliquer.

Une configuration analytique axée sur la confidentialité doit éviter les identifiants persistants, ne collecter que des données de mesure agrégées, minimiser ou éviter les données personnelles, supprimer les URL sensibles et fournir des conditions claires de conservation et d'hébergement. Cela ne supprime pas tout le travail de conformité, mais réduit le nombre de pièces juridiques mobiles.

La conformité de GA4 n'est pas une propriété binaire du nom du produit. C'est une propriété de votre implémentation. Configurez-la délibérément, documentez l'analyse et ne collectez pas plus que ce que votre équipe peut justifier.

Liste de vérification pour l'audit GA4

Documentez les paramètres exacts de la propriété GA4 avant le lancement : mode du Consent Mode, Google Signals, personnalisation publicitaire, comptes Google Ads liés, User-ID, mesure améliorée, paramètres régionaux, conservation, export BigQuery et dimensions personnalisées. Comparez ensuite un test en navigateur propre avec la déclaration de confidentialité et le bandeau de consentement. Si GA4 reçoit des événements avant un choix valide, reçoit des URL sensibles ou utilise des fonctionnalités publicitaires en dehors de la finalité divulguée, l'implémentation nécessite davantage de travail.

La réponse finale est spécifique à l'implémentation. Une configuration GA4 soignée peut réduire le risque, mais le nom de la marque ne fournit ni la base légale, ni le parcours de consentement, ni l'évaluation des transferts, ni la discipline de minimisation.