RGPD et passage obligatoire à GA4 : tout ce qu’il faut savoir !

ActualitésConseilspar Justine Bassin
En collaboration avec La Collab
donnees-regles-rgpd-google-analytics

En juin 2022, la CNIL a dénoncé les pratiques actuelles de Google Analytics 4, notamment sur les transferts de données qui transitent directement vers les États-Unis. Selon les dernières recommandations, l’utilisation de Google Analytics 4 nécessite quelques ajustements pour que votre site internet soit toujours conforme au RGPD, le Règlement Général sur la Protection des Données.

Ce règlement concerne toutes les organisations traitant des données personnelles pour leur compte, qu’elles disposent d’un site internet ou non. Si c’est le cas pour vous, voici un tour d’horizon sur les règles à respecter pour rendre votre site internet RGPD friendly.

 

Les enjeux de la data dans les entreprises

Le sujet des données personnelles ne cesse d’évoluer et devient un défi important pour les entreprises. Lorsque les datas sont correctement exploitées, elles permettent d’apporter des informations complètes, cohérentes et spécifiques. Elles permettent alors de prendre de meilleures décisions stratégiques au sein des entreprises et d’instaurer un management du risque.

Pour pouvoir les utiliser correctement, il est possible d’utiliser des outils tels que Google Analytics. Notons tout de même que la version actuelle est très prochainement obsolète avec une migration obligatoire en Juillet 2023. Il sera donc nécessaire d’opter pour la nouvelle version de Google Analytics 4 (GA4).

Cependant, son utilisation sera à prendre avec des pincettes puisque cette nouvelle version ne se veut pas encore « cookies less ». Il faudra donc s’appuyer sur les recommandations de la CNIL en parallèle.

 

Quel est l’objectif du RGPD ?

Le « Règlement Général sur la Protection des Données » par la CNIL a vu le jour le 14 avril 2016 et a été mis en vigueur le 25 mai 2018. Il concerne toutes les organisations, publiques ou privées, collectant des données personnelles. Ce règlement vise à répondre à trois grands objectifs :

  • Renforcer les droits des utilisateurs : les personnes peuvent faire la demande de recevoir toutes leurs données collectées par une organisation ou un sous-traitant.
  • Responsabiliser les organisations et sous-traitants dans la collecte des données personnelles présentes sur un site internet.
  • Encadrer la juridiction au sein de l’Union européenne : le RGPD est mis en place sur le territoire européen et des sanctions peuvent être appliquées aux sites internet ne respectant pas le règlement.

Évidemment, le Règlement Général sur la Protection des Données concerne principalement la sécurité des utilisateurs. Cependant, le RGPD peut s’avérer être un véritable outil pour le Data-Driven de votre entreprise. Ce dernier consiste à prendre des décisions stratégiques selon les analyses et interprétations des données.

  • Il apporte un gage de confiance auprès des clients de l’entreprise. Savoir que vous respectez les mesures mises en place par la CNIL ne pourra qu’être bénéfique à l’image de votre entreprise.
  • Les prises de décisions seront plus rapides et efficaces car les données collectées répondront à vos objectifs.
  • La collaboration entre les équipes et les partenaires ne sera que meilleure grâce à une plus grande transparence et une communication claire.
  • Il sera plus facile pour vous d’identifier les risques pour les éviter plus rapidement.
  • Enfin, la rentabilité sera améliorée grâce à la collecte des données plus qualifiées en amont.
donnees-regles-rgpd-google-analytics
Crédit photo : Adobe Stock / Blue Planet Studio

 

5 bonnes pratiques pour rendre votre site internet RGPD friendly

Avec une hausse de 33 % du nombre de plaintes reçues par la CNIL en 2021, il devient alors essentiel de rendre votre site internet conforme au RGPD. Vous ne savez pas par où commencer ? Voici 5 bonnes pratiques à prendre en compte dès aujourd’hui.

 

1. Communiquer sur la collecte des données personnelles

La bonne pratique la plus importante est de communiquer sur la collecte des données personnelles de votre site internet. L’utilisateur doit pouvoir facilement retrouver :

  • La nature des données personnelles collectées ;
  • L’objectif derrière la collecte des données ;
  • Quels sous-traitants pourront y avoir accès ;
  • La durée de conservation des données personnelles ;
  • Si des logiciels sont utilisés pour analyser les données, il faut aussi en informer les utilisateurs.

Comment cela peut-il prendre forme sur un site internet ? Pour rendre votre site internet RGPD friendly, il faudra alors disposer de :

  • Informations sur la page d’accueil communicant sur l’utilisation des cookies ;
  • Un texte informatif sur chaque page où des données peuvent être collectées comme un formulaire de contact, un réseau social, un e-mail ou encore un processus de commande en ligne ;
  • Une page dédiée uniquement à la collecte et au traitement des données personnelles qui devra se trouver facilement sur votre site internet. Il s’agit de la page Politique de confidentialité.

 

2. Connaître l’objectif de la collecte des données personnelles

Il est aussi essentiel de définir une finalité à la collecte de données personnelles. Selon la CNIL, cette dernière doit être :

  • Déterminée, légitime et explicite : la finalité doit être compatible avec les missions de l’entreprise.
  • Respectée : il est interdit d’utiliser la collecte des données personnelles pour un autre objectif que celui déterminé.
  • Encadrée : il n’est possible de collecter que des données utiles et en lien avec votre objectif principal.
  • Limitée : toutes les données personnelles collectées ne peuvent être conservées que pendant un certain laps de temps. La durée de conservation sera à définir.

Podcast


En effet selon votre finalité, une durée de conservation est définie par la CNIL. Voici les principaux délais à connaître :

  • 1 mois : le délai imparti pour rectifier, effacer ou restituer les données personnelles à l’utilisateur qui en fait la demande.
  • 13 mois : tous les 13 mois, il est obligatoire de demander à nouveau le consentement des visiteurs pour le traitement des cookies. Il s’agit notamment des cookies de mesure d’audience, d’amélioration de l’expérience utilisateur ou encore des cookies publicitaires présents sur les réseaux sociaux.
  • 3 ans : il est obligatoire de supprimer toutes les données personnelles collectées des personnes inactives depuis 3 ans de la base de données de l’entreprise. Cependant, il est possible de les conserver si vous anonymisez les données pour vos analyses statistiques.

 

3. Renforcer la sécurité des données personnelles des utilisateurs

Si être transparent dans la collecte des données personnelles assure davantage de sécurité, il reste très important de les sécuriser sur votre site internet. Le RGPD est très clair : toute organisation a une obligation de sécurité sur le fichier de collecte des données.

Il s’agit donc d’appliquer toutes les mesures pour garantir la sécurité des données. Cela se traduit par une sécurité informatique avec notamment le protocole https, mais aussi par la sécurisation des locaux, du fichier physique et des droits d’accès informatiques.

 

4. Nommer son Data Protection Officer

Rendre son site internet RGPD friendly et tous les supports en interne, repose aussi sur la dénomination d’une personne chargée de la protection des données. Et cela prend d’ailleurs tout son sens pour les organisations dont les données traitées sont sensibles (politique, finance, sécurité, religion etc.).

On parle ici de DPO, Data Protection Officer, qui sera en charge du fichier de collecte. Dans le cas d’un site internet détenu par une autorité publique ou par un organisme public, la nomination/présence de ce DPO est obligatoire !

Notons aussi que le DPO est indispensable dans la reconfiguration de la solution Analytics qui peut se faire de plusieurs manières d’après la CNIL :

  • Soit en installant la dernière version de Google Analytics 4 avec l’ajout d’un proxy. Celui-ci permettrait de masquer l’adresse IP et donc anonymiser les utilisateurs venus sur votre site internet.
  • Soit remplacer GA4 par une des 15 solutions recommandées par la CNIL qui garantit donc d’être entièrement conforme au RGPD.

 

5. Mettre à jour sa conformité RGPD régulièrement

Enfin, rendre son site internet RGPD friendly implique de le mettre à jour régulièrement afin de suivre les actualisations du RGPD et d’être toujours conforme. Il faut donc vérifier régulièrement si rien n’a évolué ou si les mesures de sécurité sont toujours respectées.

La dernière mise à jour du règlement RGPD date du 1er avril 2021. Cette dernière avait pour but de renforcer deux points à propos de l’utilisation des cookies sur les pages internet :

  • Tous les usages liés au traçage des données personnelles doivent être présentés aux utilisateurs qui devront faire leur choix.
  • L’utilisateur pourra désormais consentir en cliquant d’un « J’accepte » dans une bannière cookie. S’il ne répond pas, cela n’est pas synonyme de consentement et donc aucun traceur non essentiel ne pourra collecter les données.

Enfin, veillez toujours à mettre à jour vos CGU/CGV ainsi que votre page de confidentialité. C’est ici que les utilisateurs pourront retrouver toutes les dernières mises à jour du RGPD adoptées par votre site internet.

accompagnement-rgpd
Crédit photo : Unsplash / @grin

 

Se faire accompagner dans la mise en conformité RGPD

S’il peut sembler être une contrainte au premier abord, le RGPD peut venir un angle de développement très intéressant. En informant davantage sur le traitement des données personnelles des utilisateurs, le RGPD de votre entreprise devient alors un gage de confiance.

Mais il faut se l’avouer, être entièrement conforme aux demandes de la CNIL peut vite devenir un chemin tortueux. Quelles sont les obligations RGPD dans l’e-mailing ? Quelles données collecter pour votre entreprise ? Comment mettre en place le RGPD sur les réseaux sociaux ? Selon les capacités de votre structure, il peut alors s’avérer utile de se faire par des experts maîtrisant tous ces sujets.

À l’occasion de la rentrée, un webinar intitulé « Analytics et RGPD Horizon 2023 : quel plan d’action et opportunités pour les entreprises ? » s’est tenu le 29 septembre 2022 sur Zoom. Ce webinar a été organisé par La Collab, une entreprise collective qui ne réunit pas moins de 150 experts indépendants passionnés par le marketing, la communication et le digital. Depuis 2015, 350 clients ont su faire confiance à La Collab pour travailler sur de nombreuses problématiques, dont la mise en conformité de leur RGPD en partenariat avec des avocats et juristes spécialisés.

Vous voulez obtenir un site internet RGPD friendly ? Vous souhaitez réaliser la migration vers Google Analytics 4 en toute sérénité ? Vous voulez préparer la nouvelle année en matière de collecte et traitement de données personnelles ? Les experts indépendants de La Collab pourront vous accompagner sur l’entièreté de votre projet de mise en conformité.

Pour retrouver toutes les informations à propos du webinar et de La Collab, cliquez ici.

 

Intéressé par l’agence La Collab ? Rendez-vous sur sa page dédiée !

Page agence La Collab

Tag :

emoji-email Ne manquez aucune actualité, abonnez-vous !

Chaque semaine, le meilleur de la communication et du digital directement dans votre inbox...