Le guide définitif de Google Analytics et de la conformité GDPR

Publié: 2022-05-25

À l'heure actuelle, toutes les entreprises en ligne prospères connaissent Google Analytics (GA). Le logiciel est indispensable pour toute organisation qui souhaite en savoir plus sur son public. Aujourd'hui, gérer une entreprise en ligne sans GA équivaut à conduire une voiture sans roues ; vous n'irez probablement pas très loin.

Après tout, GA nous fournit de nombreux rapports et métriques pour en savoir plus sur notre public. De quel pays vient un visiteur ? Quelle est leur démographie ? Quels sont leurs intérêts ? Toutes ces questions peuvent trouver une réponse dans GA.

Les données jouent un rôle dans presque toutes les entreprises modernes. Utilisant L'attribution basée sur les données , par exemple, aide à affiner la publicité. Un autre exemple, la cartographie thermique, peut améliorer la conception du site Web .

Mais les entreprises ayant accès à toutes ces données, les consommateurs sont de plus en plus préoccupés par la destination des données et la manière dont elles sont utilisées. Pendant longtemps, les entreprises pouvaient collecter des données avec peu de restrictions. Mais alors que les préoccupations liées aux données devenaient de plus en plus répandues, une nouvelle législation est entrée en scène.

Entrez dans le règlement général sur la protection des données (RGPD). Il est juste de dire que cette législation a inquiété de nombreuses entreprises. Même maintenant, certaines organisations ne comprennent pas parfaitement le RGPD. Ce n'est pas sans raison ; la réglementation est extrêmement compliquée et source de maux de tête.

Alors, que devrais-tu faire? Heureusement, ce guide est là pour montrer comment vous pouvez continuer à tirer le meilleur parti de GA et rester conforme au RGPD !

Tout d'abord… Qu'est-ce que le RGPD ?  

Infographie du blog P & DP_1

Source des images

Le RGPD a été introduit comme un moyen de moderniser la législation relative aux données. Avant 2018, les lois sur les données étaient massivement obsolètes, certaines datant de 1990. Il n'est pas difficile de comprendre pourquoi ces lois devaient être mises à jour.

Au cours des 20 dernières années, Internet a explosé, il y a maintenant 5 milliards de personnes en ligne dans le monde. Les gens s'inscrivent à différents comptes, saisissent des informations personnelles et laissent derrière eux d'énormes empreintes numériques. La législation ne suffisait plus à réglementer ces données. GDPR a unifié et mis à jour différentes lois sous une même bannière.

Cela signifiait de nouvelles règles sur la manière dont les entreprises collectaient et utilisaient les données relatives à leurs clients.

Comment le GDPR affecte les affaires en ligne

La législation complète du GDPR est énorme - un document de 90 pages établissant la loi. Évidemment, nous ne pouvons pas résumer les 90 pages complètes ici. Au lieu de cela, voici les facteurs les plus importants que vous devrez prendre en compte.

Un visiteur doit donner son consentement avant que vous ne collectiez des données - peu importe la nature des informations, si elles concernent le visiteur, vous aurez besoin de son autorisation pour les collecter. Une fenêtre contextuelle de consentement aux cookies vous aidera à cela. Si vous avez un formulaire de contact, assurez-vous d'inclure une case à cocher pour confirmer qu'un utilisateur a lu votre politique de confidentialité.

Votre site Web doit montrer comment il est conforme au GDPR - N'essayez pas d'écrire votre propre politique de confidentialité. Vous aurez besoin de l'aide d'un professionnel qui connaît le RGPD. Ou vous pouvez trouver des modèles en ligne.

Assurez-vous qu'un client "accepte" votre marketing - Avant d'envoyer tout des supports marketing numériques à un client, celui-ci doit accepter de les recevoir. De même, un client doit pouvoir facilement se « désinscrire » à tout moment.

Vous paniquez peut-être légèrement en lisant ces informations. La réalité, c'est qu'il ne s'agit que d'un petit élément du projet de loi. Pour des informations plus détaillées, consultez ce résumé du RGPD.

Le RGPD s'applique-t-il aux entreprises non basées dans l'UE ?

Vous lisez peut-être ce qui précède et vous pensez « Génial ! Je ne suis pas dans l'UE, donc la loi ne s'applique pas à moi ». Eh bien, malheureusement pas de chance. Même si votre organisation n'est pas basée dans l'UE, votre site Web recevra toujours des visiteurs qui le sont. Vous aurez besoin du consentement de ces visiteurs avant de pouvoir collecter leurs données.

Quelles amendes sont associées à la violation du RGPD ?  

Avant d'entrer dans les détails, je veux établir qu'il existe plusieurs entités qui appliquent le RGPD pour différentes entreprises en Europe. Étant donné que l'UE a établi les règles, et je ne veux pas énumérer tous les conseils d'administration, je ferai simplement référence à l'UE en tant qu'entité qui applique ces règles.

Si vous ne l'êtes pas déjà, vous voudrez peut-être vous asseoir pour celui-ci. L'amende maximale pour violation du RGPD est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel (selon le montant le plus élevé). Même Google n'a pas pu échapper à la colère du GDPR, encourant une énorme amende de 50 millions d'euros .

Il convient de noter que la plupart des amendes n'atteindront rien de proche de ce nombre. Mais l'amende illustre le sérieux avec lequel l'UE s'attaque au problème des données.

En plus d'infliger une amende, l'UE pourrait faire l'une des choses suivantes :

  • Envoyer un avertissement à une organisation
  • Interdire le traitement des données (temporairement ou définitivement)
  • Ordonner à une entreprise de supprimer les données des utilisateurs

Comment Google Analytics est-il affecté par le RGPD ?  

Lorsque vous activez Google Analytics sur votre site Web, vous intégrez également une balise de suivi. En plus d'envoyer des données à votre Rapports GA , cette balise envoie les adresses IP des utilisateurs de votre site Web à Google ainsi que d'autres informations.

Une partie de la législation GDPR stipule que si vous envoyez des données utilisateur à un tiers, vous devez d'abord en informer les utilisateurs. Cela signifie que vous devrez inclure des informations sur votre site qui permettent aux utilisateurs de savoir comment GA gère leurs données.

Si vous ne l'avez pas déjà fait, il peut être judicieux de configurer Google Tag Manager pour un meilleur contrôle du balisage.

Google Analytics a-t-il besoin d'un consentement ?  

L'un des aspects les plus frustrants du GDPR est que de nombreux domaines restent ambigus. Nous avons déjà examiné les amendes douloureuses associées au GDPR - illustrant pourquoi il est toujours préférable de faire preuve de prudence.

Alors, que devrais-tu faire?  

La réponse la plus simple est d'utiliser un outil de gestion du consentement. Cela demande l'autorisation d'un utilisateur avant de déployer un code de suivi GA. Il existe de nombreuses options de gestion du consentement parmi lesquelles choisir :

  • TrustArc
  • OneTrust
  • Cookiebot  

Ce qui précède sont quelques-uns que je recommande. Bien que toutes les options n'incluent pas des fonctionnalités pour empêcher le code de suivi GA. Assurez-vous d'effectuer des recherches avant de choisir une option.

Étapes simples pour rester conforme au RGPD  

Le grand nombre de mesures contenues dans le RGPD est suffisant pour vous empêcher de dormir la nuit. Mais si vous vous en tenez aux étapes de base suivantes, vous pouvez éviter les ennuis.

Incluez les bonnes informations dans votre bannière de cookies  

N'oubliez pas que le RGPD se concentre sur la question du consentement. Un utilisateur doit donner son consentement pour que vous puissiez collecter et analyser ses données. Mais d'abord, un utilisateur doit comprendre ce à quoi il consent. Pour être conforme au RGPD, votre bannière de cookies doit contenir toutes les informations dont un utilisateur a besoin pour prendre une décision éclairée.

Cela signifie que vous devez expliquer comment vous utilisez Google Analytics pour collecter leurs données. Cela devrait inclure ce que vous faites avec les informations d'un utilisateur et pourquoi la collecte de données est importante pour votre site Web.

Ne négligez pas la politique relative aux cookies  

Une politique de confidentialité est extrêmement importante pour définir la manière dont vous utilisez les données des clients. Mais cela ne signifie pas que vous négligez une politique en matière de cookies. Les cookies peuvent être extrêmement détaillés en eux-mêmes ; vous aurez besoin d'une section pour chaque cookie que vous utilisez. Cela devrait inclure cookies tiers .

Encore une fois, vous pourriez être tenté de réduire vos coûts en rédigeant vous-même votre police. Ne le faites pas. Pour être exacte et conforme, votre police devra avoir été élaborée par un expert. Ou encore, vous pouvez trouver des modèles en ligne.

Soyez prêt pour les violations de données

Source des images

Malheureusement, les cyberattaques sont quelque chose avec lequel les entreprises apprennent à vivre. Entre 2020 et 2021, les attaques liées à la cybersécurité ont augmenté de 31% . Cette hausse ne semble pas montrer de signe de ralentissement. Lorsque les attaques entraînent des violations de données, vous devez tenir compte du RGPD.

Après toute violation de données, vous devrez informer les utilisateurs dans les 72 heures. Il est préférable de s'y préparer avant que cela ne se produise plutôt que de patauger si une attaque se produisait. N'oubliez pas que les violations de données s'appliquent également à votre compte GA. Google vous enverra un e-mail pour vous avertir si votre compte a été compromis.

Soyez prêt à partager et à supprimer des données  

Une grande partie du RGPD consiste à être transparent avec la manière dont vous collectez et analysez les données. Cela signifie que si un client demande à voir ses données, vous êtes obligé de les lui montrer. Tout comme pour les problèmes de cybersécurité, vous devez disposer d'un processus de partage des données client sur demande.

De même, un utilisateur peut décider de supprimer ses données. Si vous recevez une demande de suppression, vous devez vous conformer. Pouvoir utiliser les données pour le reciblage est vraiment formidable et devrait faire partie intégrante de vos efforts de marketing rémunérés. Mais la vie privée des gens signifie plus.

Accès et suppression de données dans Google Analytics

Heureusement, il est possible de trouver les données d'un utilisateur individuel dans GA. Malheureusement, cela est un peu une corvée. Tout d'abord, l'utilisateur demandant une modification devra partager son ID client GA. Il s'agit d'un cookie placé par GA pour suivre les utilisateurs individuels.

Les données collectées à partir des identifiants peuvent nous aider de plusieurs manières. Par exemple, en nous renseignant sur le comportement des utilisateurs, nous pouvons améliorer micro entonnoirs et augmenter la probabilité de ventes.

Pour y accéder, ils devront accéder aux cookies stockés sur leur navigateur. À partir de là, ils devront localiser le cookie GA et rechercher l'identifiant _ga . Vous trouverez ci-dessous un exemple de cookie GA.

GA1.2.456731348.6436758325

Dans cette situation, les nombres ' 456731348.6436758325' seraient l'ID client de l'utilisateur. Une fois qu'un identifiant vous a été envoyé, vous pouvez l'identifier dans vos enregistrements GA et le supprimer. Vous devez également demander à un utilisateur de supprimer tous les cookies GA de son navigateur. Pour plus d'informations sur la suppression de données dans GA, Google a créé un guide détaillé.

Si vous vous familiarisez avec ce processus maintenant, vous aurez beaucoup plus de facilité à traiter les requêtes liées aux données.

Anonymiser les adresses IP  

Comme déjà mentionné, GA collecte les adresses IP de tous les utilisateurs. Il convient de noter que cela est entièrement à des fins géographiques et que les adresses IP ne sont pas incluses dans les rapports. Malgré cela, les adresses IP sont toujours considérées comme une forme d'identification et relèvent de la compétence du RGPD.

Heureusement, Google propose une solution de contournement pratique dans GA pour éviter ce problème. Vous pouvez utiliser une fonctionnalité appelée Anonymisation IP, qui masque l'adresse IP des utilisateurs lors de la collecte.

Soyez conscient de ce que vous envoyez à Google  

Comme mentionné ci-dessus, certaines données que vous collectez dans GA sont également partagées avec Google. Vous devrez suivre certaines étapes pour vous assurer que ces données ne violent pas le RGPD. Vous trouverez ci-dessous quelques étapes importantes pour vous assurer que vous restez du bon côté de la loi.

Accepter les conditions de traitement des données - Google a créé un document détaillé sur la façon dont ils traitent et partagent les données GA. Vous devrez signer ce document pour éviter d'enfreindre le RGPD. Pour ce faire, accédez à Admin, sélectionnez Paramètres du compte et faites défiler jusqu'à Conditions de traitement des données.  

Assurez-vous que les données partagées sont anonymes - Lorsque vous partagez des données avec Google, il est important qu'elles n'incluent aucune information identifiable sur un utilisateur. Cela signifie que les données telles que les adresses e-mail ne doivent pas être incluses. Comme mentionné, l'anonymisation des adresses IP en est une partie importante.

Désactiver le partage de données - Par défaut, Google partage les données GA avec d'autres services. Cela peut être désactivé en accédant aux paramètres du compte et en choisissant Partage de données.  

Ne conservez pas les données pendant une période prolongée  

Le RGPD ne stipule pas combien de temps une organisation doit conserver les données, seulement ces informations ne doivent pas être conservées plus longtemps que nécessaire. Dans GA, vous choisissez la durée de stockage des données. Le paramètre par défaut est de 24 mois, mais il peut être réduit à 14 mois. Pour ce faire, rendez-vous sur Admin, choisissez Informations de suivi et conservation des données.  

N'oubliez pas l'importance du RGPD  

Qu'on le veuille ou non, le RGPD est là pour rester. La législation gigantesque peut être difficile à comprendre; comme illustré ici, le RGPD couvre de nombreux domaines et nécessite de nouvelles mesures. Mais n'abandonnez pas l'analyse des données - le fait est que les données sont essentielles dans le monde moderne.

Mais GDPR ne signifie pas que votre opération de données doit être moins efficace. GA continue de devenir de plus en plus puissant ; la dernière version appelée google analytics 4 , ajoute une toute nouvelle gamme de fonctionnalités.

Prenez le temps de vous familiariser avec le RGPD. Avec les bonnes mesures en place, la législation ne devrait pas être un souci. GA est même fourni avec des outils pour faciliter la conformité. Avec les préoccupations GDPR à l'écart, vous pouvez recommencer à tirer le meilleur parti de vos données et faire passer votre entreprise au niveau supérieur.

Bio : Phil Pearce est un expert en analyse, auteur et analyste Web. Il est également directeur analytique et fondateur de Google Analytics, Google Tag Manager, Google Ads et de l'agence CRO , MeasureMinds Group. Au cours des 20 dernières années et plus, Phil a aidé ses clients à améliorer leurs analyses et leur marketing sur les moteurs de recherche grâce à l'introduction de nouveaux outils et de techniques perturbatrices. Il a écrit pour des sites Web tels que Hubspot et BambooHR .

Retrouvez Phil sur LinkedIn

Retrouvez Phil sur Twitter