Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ?
Rappel sur la problématique
L'utilisation de Google Analytics est soumise à deux contraintes juridiques en raison de la directive ePrivacy et par extension à la RGPD: le consentement des cookies et traceurs, ainsi que le transfert illégal de données personnelles vers les États-Unis.
En savoir plus sur la réglementation : Google Analytics est-il légal en Europe ?
La proposition de la CNIL : la proxyfication
En juin 2022, la CNIL a recommandé l'utilisation de la proxyfication et de mesures spécifiques pour utiliser correctement GA4 en conformité avec les directives Européennes et la RGPD :
Google Analytics et transferts de données : comment mettre son outil de mesure d'audience en conformité avec le RGPD ?
La Cour de justice de l'Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l'Union européenne et les États-Unis. La législation états-unienne n'offre, en effet, pas de garanties suffisantes face au risque d'accès par les autorités, notamment les services de renseignement, aux données personnelles de résidents européens.
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite
La proxyfication de Google Analytics consiste principalement à remplacer certaines informations par le serveur de proxification pouvant participer à la génération d'une empreinte, et supprimer toute autre donnée pouvant mener à une réidentification comme ID de base CRM.
- Ne pas transférer l'adresse IP vers les serveurs de l'outil de mesure.
- Remplacer l'identifiant utilisateur par le serveur de proxyfication.
- Supprimer les informations de site référent externes au site ainsi que les paramètres contenus dans les URL collectées.
- Retraiter les informations pouvant participer à la génération d'une empreinte
- Ne collecter aucun identifiant de cross-domain tracking ou déterministe.
- Supprimer toute autre donnée pouvant mener à une réidentification.
Appliquer une proxyfication strictement selon les recommandations de la CNIL peut rendre quasiment caduc votre outil d’analyse.
Mais heureusement certaines de ces contraintes juridiques sont discutables et solvables par des manipulations techniques.
Les critères pour une proxyfication conforme
La CNIL a présenté plusieurs mesures qu'elle juge nécessaires pour que le processus soit conforme au RGPD. Nous allons les lister ici avec les conséquences, ainsi que nos recommandations.
Ne pas transférer l'adresse IP vers les serveurs de l'outil de mesure.
Il s’agit d’anonymiser les adresses IP. Anonymiser seulement les 3 derniers caractères suffit. Cela permettra quand même de déduire la région en termes de précision.
Google Analytics ne pourra pas déduire la provenance des utilisateurs au niveau de la ville. En fonction des cas cela peut être un problème pour certaines activités.
Configurer le proxy de sorte qu’il puisse lui-même déduire de l’adresse IP la géolocalisation de vos visiteurs.
Remplacer l'identifiant utilisateur par le serveur de proxyfication.
La CNIL estime que Google ne fournit pas de preuve ou de garanties suffisante qu'il ne recoupe pas ces données avec d'autres données tierces. C’est ce flou qui pose problème à la CNIL.
Ajouter une clé de chiffrement avant envoi de l’ID par le serveur de proxyfication.
Supprimer les informations de site référent (ou "referrer") externes au site ainsi que les paramètres contenus dans les URL collectées.
Plutôt que de limiter le “referrer” au nom de domaine, la CNIL demande de supprimer le nom du “referrer”. Il en est de même des paramètres UTM des campagnes (source, medium, campaign, etc.).
Incapacité à collecter la provenance des utilisateurs. C’est une véritable problématique pour la majorité des acteurs.
Conservez quand même le nom de domaine du “referrer” ainsi que les paramètres UTM qui ne permettent pas une identification.
D’ailleurs, beaucoup de solutions analytics recommandées par la CNIL ont non seulement accès à des éléments d’informations issus du “referrer”, mais également sans besoin d’obtenir le consentement des utilisateurs !
Attention si vous ne pouvez pas passer le
gclid
, vous devrez tagger vos campagnes Google Ads avec des UTMs puisque l’auto-tagging ne sera plus possible.Retraiter les informations pouvant participer à la génération d'une empreinte (ou "fingerprint"), telles que les "user-agents".
Il faudra supprimer les informations inutiles du User Agent.
L’impact restera limité (ex: modèle précis de téléphone ou version de navigateur)
Ne collecter aucun identifiant de cross-domain tracking ou déterministe (CRM, id unique).
Perte de l’origine des visites et incapacité à enrichir et recouper vos données pour suivre l’utilisateur sur plusieurs domaines ou faire certaines analyses.
Ajouter une clé de chiffrement avant envoi de l’ID par le serveur de proxyfication.
Dès lors que le consentement de l’utilisateur est donné et que les ID sont chiffrées, donc qu’elles ne peuvent pas être utilisées par Google pour d’autres croisements de données, nous pensons qu’il n’est pas nécessaire d’empêcher le cross-domain tracking.
Supprimer toute autre donnée pouvant mener à une réidentification.
Des recommandations ont également été émises sur les conditions d'hébergement du proxy 🇪🇺.
Notre avis sur la proxyfication de Google Analytics
Dans tous les cas il faudra s’assurer du respect du consentement de l’utilisateur.
Ensuite il peut être utile de prendre certaines libertés tant que vous pouvez le justifier. La proxyfication oui, mais pas au sens strict de la CNIL, sinon votre outil n’est quasiment pas exploitable.
Enfin, mettre en place la collecte de donnée en server-side est également une bonne pratique pour maîtriser ce qui est envoyé aux partenaires (voir : ITP/ETP Safari, iOS14 et le server-side).
Pour aller plus loin :
GA4 vs RGPD de la CNIL : utilisation légale impossible ?
Google Analytics est-il illégal au regard des normes RGPD ? Voici comment utiliser GA4 conformément aux recommandations de la CNIL !
https://www.uplix.fr/ga4-rgpd/
En savoir plus
Auteur
Edouard de Joussineau
Dirigeant de Starfox Analytics. 9 ans dans le CRO & la Web Analyse. Entrepreneur et Product Manager mais également amateur de bon vin, de F1 et d’échecs.
Contactez-nous !
Un besoin, une question ? Écrivez-nous à [email protected]. Notre équipe vous répondra au plus vite.
Prendre rendez-vous →
Suivez Starfox Analytics sur Linkedin
Un besoin, une question ? Notre équipe vous répondra au plus vite.
→ Suivez Starfox sur Linkedin
Autres ressources
Wikis
Les meilleures alternatives à Google Analytics
Proxyfication de Google Analytics : une bonne idée ?
Différences entre GA3 vs. GA4
GA4 Data Redaction
Migrations GA4
L’auto-migration GA4: bonne ou mauvaise idée ?
Les limitations de collecte dans GA4
Suivre les impressions publicitaires dans GA4
Google Analytics est-il légal en Europe ?