Respect du RGPD & solutions proposées

Vous êtes ici

La nouvelle a fait grand bruit dans le monde du web : pour la première fois, le 10 février 2022, la CNIL (Commission Nationale Informatique et Liberté) a mis en demeure un gestionnaire de site web. Le nom n'a pas été dévoilé, mais le gestionnaire a eu un mois pour se mettre en conformité avec le RGPD. En cause : son utilisation de Google Analytics.

Google Analytics, c'est quoi ?

C'est probablement l'outil de suivi d'audience le plus connu. C'est-à-dire qu'il permet aux gestionnaires de sites internet de connaitre le nombre de visites sur leur site, le temps passé par les internautes sur telle ou telle page, les pages les plus vues, la provenance géographique des utilisateurs, les heures où les contenus sont les plus consultés... Bref, de très nombreuses statistiques permettant d'améliorer son site.

S'il est si connu, c'est notamment car il existe une version gratuite très performante, facile à installer et à prendre en main. 

L'utilisation de Google Analytics est-elle contraire au RGPD ?

Le 13 janvier 2022, l'équivalent autrichien de la CNIL a estimé que l'utilisation de Google Analytics était contraire au RGPD (Règlement Général de Protection des données). Si vous n'êtes pas (encore) familier avec ce terme, nous vous invitons à lire notre article faisant le point sur la protection des données

Ce qui pose problème aux instances européennes, c'est avant tout le transfert des données récoltées vers les Etats-Unis - et ce même si elles sont anonymes, puisqu'en recoupant de nombreuses données, il reste possible d'identifier individuellement les utilisateurs. L'article proposé par Le Monde le 20 janvier dernier résume la situation.

Quelle est la position de la CNIL ?

CNIL

On a récemment pu lire sur internet que l'utilisation de Google Analytics était désormais illégale. Mais c'est un raccourci un peu trop vite énoncé. Non, la CNIL n'interdit pas d'avoir recours à Google Analytics. Cependant, elle a précisé au début du mois de février, les conditions d'utilisation de ce service pour rester en conformité avec le RGPD : le recueil de ses données par Google Analytics doit désormais être explicitement consenti par l'utilisateur. L'entrée en vigueur de ces nouvelles conditions doit se faire en avril 2022. De fait, la poursuite de la navigation ne pourra pas être considérée comme un consentement.

La CNIL considère que les mesures suivantes sont strictement nécessaires pour la bonne administration d’un site :

  • la mesure de l’audience, page par page ;
  • la liste des pages à partir desquelles un lien a été suivi pour demander la page courante (parfois nommé « referrer ») que ce soit interne ou externe au site, par page et agrégée de manière journalière ;
  • les type de terminal, navigateur et taille d’écran des visiteurs, par page et agrégé de manière journalière ;
  • des statistiques de temps de chargement des pages, par page et agrégée de manière horaire ;
  • des statistiques de temps passé sur chaque page, de taux de rebond, de profondeur de défilement, par page et agrégée de manière journalière ;
  • des statistiques sur les actions utilisateurs (clic, sélection), par page et agrégée de manière journalière ; 
  • des statistiques sur la zone géographique d’origine des requêtes, par page et agrégée de manière journalière.

Existe-t-il des alternatives pour la mesure d'audience ?

matomo

Oui, il existe d'autres solutions! Depuis 2018 nous proposons à nos clients l'usage de l'outil Matomo sur nos serveurs.

C'est un outil Open Source de mesure d'audience très performant. On l'a installé sur un de nos serveurs en France, géré par notre équipe. Avec son paramétrage en conformité avec RGPD, il permet de bénéficier d'une exemption de bandeau cookie. Vous pouvez voir une démo, ou faire appel à votre chef de projet pour voir comment installer cette solution RGDP-friendly !

Si vous souhaitez conserver Google Analytics, cela implique plusieurs évolutions techniques :

  • un simple bandeau d'acceptation et paramétrage des cookies ne suffit plus 
  • la récolte des cookies dits "fonctionnels" ne peut s'appliquer qu'aux utilisateurs ayant explicitement consenti à leur recueil (acceptation au clic sur un bouton)
  • les preuves de consentement peuvent être demandées en cas de contrôle

 

Ajouter un commentaire