Google Analytics et RGPD

cookies google analytics

Google Analytics propose un paramétrage pour la durée des cookies à 14 mois par défaut minimum. Mais comment réduire aux 13 mois maximum, comme l’exige le RGPD, la durée des cookies Google Analytics ? Cet article va vous permettre de configurer Google Analytics et RGPD selon plusieurs méthodes pour réduire la durée des cookies Google Analytics.

Mise en conformité des cookies pour le RGPD

Pour les entités soumises au RGPD, voici les premières étapes à réaliser pour se mettre en conformité RGPD.

Pour commencer, il faut paramétrer votre compte Google Analytics en acceptant la politique de confidentialité proposée par Google.

Ensuite, il faut déclarer qui est responsable des traitements des données personnelles pour votre site (personnalité juridique) et qui est Data Protection Officer – DPO pour l’entité (contacts).

déclaration des responsables de traitement rgpd

Enfin, il faut aller dans Propriété / Informations de suivi / Conservation des données pour réduire la durée des cookies et activer la fonctions qui permet de prolonger la durée de conservation des cookies à chaque nouvelle connexion de l’utilisateur.

parametrer la durée des cookies sur Analytics

Mais comme on peut le voir, il va falloir aller plus loin pour être en conformité avec le RGPD car Google ne propose qu’une réduction à 14 mois minimum. Le RGPD demande 13 mois maximum, il faut donc paramétrer cette durée en dehors de Google Anaylitcs.

Voici 2 méthodes pour réduire la durée de conservation des cookies Google Analytics.

Réduire la durée de conservation des cookies Google Analytics dans la code

Dans le code, il suffit d’insérer les fonctions suivantes :

cookie _ga dans le code

Il faut relier le compte Google Analytics (UA-XXXXXXXXX-X) aux fonctions ‘anonymizeip’ et ‘cookie_expires’ pour s’assurer que les IP seront anonymisées et les cookies réduits à 13 mois maximum de conservation. Ainsi, ce ne seront plus des données personnalisées et ces cookies ne seront plus soumis au consentement. Vous pourrez ainsi les exclure des bandeaux d’acceptation de cookies. Par conséquent, vous aurez un trafic sur Google Analytics qui ne sera pas limité par un consentement via un bandeau et vous pourrez analyser votre trafic sans limite.

Pour autant, vous devrez quand même mentionner dans votre politique de protection des données personnelles que vous faites appel aux cookies de mesure d’audience mais que vous avez anonymisé les données.

Réduction de la durée de conservation des cookies Google Analytics avec Google TagManager

Google Tag Manager est un outil gratuit proposé par Google pour gérer les balises sur votre site web. Cette solution est intéressante dès lors que vous avez plusieurs balises à gérer : ça peut être un plan de taggage pour le e-commerce, ça peut être des balises marketing à gérer sur un site selon des événements, ça peut être aussi la réduction de la conservation des cookies Google Analytics, c’est ce que nous allons voir en 4 étapes. Alors comment configurer Google Tag Manager pour le RGPD.

1ère étape : Créer et configurer la balise Google Analytics

On choisit la balise permettant d’identifier le compte Google Analytics. Il faut pour cela créer une balise avec votre numéro de compte Google Analytics.

Dans le champ ‘Paramètres Google Analytics’, on va créer une variable pour les paramètres personnalisés (voir Etape 3) et dans le champ ‘ID de suivi’, on créé une variable avec le cookie_ga de Google Analytics (voir étape 2).

Enfin, dans les champs à définir, on choisit :

anonymizeip et forcessl avec une valeur ‘true’.

Pour la partie ‘E-commerce’, on laisse de côté pour le moment, on reste dans le cadre d’un site institutionnel. On laisse donc ‘False’.

analytics sur google tag manager

Etape 2 : Paramétrer le ‘cookie_ga’ de Google Analytics

Dans cette étape, on identifie le cookie_ga pour lui attribuer une durée de conservation. Pour ce paramétrage, on appelle le numéro de compte Google Analytics concerné avec l’ID Google Analytics.

Puis, dans ‘IDomaine de cookie’, on nomme le cookie concerné par le paramétrage : ici ‘cookie_ga’.

Enfin, dans ‘Champ à définir’, on appelle la fonction ‘cookieexpires’ avec une valeur à ‘33696000’ secondes qui correspond à 13 mois.

cookie _ga

Etape 3 : Fixer le compte Google Analytics comme donnée constante

Dans cette étape, on va configurer le numéro de compte Google Analytics concerné pour pouvoir u=y faire appel sans avoir à paramétrer le numéro de compte à chaque fois. Cette balise pourra servir aux paramétrages d’autres balises. Votre numéro de compte Google Analytics devient une variable ‘constant’.

google Analytics

Etape 4 : Rapprochement de la balise ‘cookie_ga’ et des ‘Paramètres Google Analytics’

Vous avez identifié et configuré le ‘cookie_ga’ et vous avez configuré les ‘Paramètres Google Analytics’. Il faut maintenant relier les 2 de la façon suivante :

paramétrage Google Analytics

Voilà, Google Tag Manager vous permet de paramétrer vos cookies, avec cet exemple pour le cookie _ga de Google Analytics, vous pouvez configurer désormais vos cookies.

Pour un audit plus complet sur la conformité RGPd de votre site web consultez cet article : Audit RGPD CNIL.

Vérification de la réduction de la durée des cookies Analytics

Une fois la configuration réalisée, il n’y a plus qu’à vérifier que la réduction est bien prise en compte.

Pour cela, il y a plusieurs méthodes :

Vous pouvez voir dans la barre d’url en cliquant sur le cadenas puis sur ‘Cookies’ si les cookies concernés sont bien réduits à 13 mois.

Une autre solution consiste à aller dans l’Inspecteur et se rendre sur Application puis de visualiser la liste des cookies et leur durée.

Enfin, vous pouvez aussi faire un rapport sur les cookies en allant sur le site https://www.cookiebot.com/fr/ . Un rapport vous est envoyé sur les cookies présents sur votre site. Attention, faite ce rapport en vous assurant d’avoir vider votre cache auparavant, c’est plus prudent.

Politique de confidentialité Google Analytics

Pour être en conformité avec les exigences RGPD, les cookies de mesure d’audience sont maintenant réduits à 13 mois maximum de durée de conservation et les IP collectées sont anonymisées. Votre politique RGPD pour les cookies devient conforme.

Les cookies Google Analytics ne sont donc plus de données personnelles et n’ont plus à être soumis au consentement dans un bandeau d’acceptation de cookies. Au passage, un bandeau comme tarteaucitron.js est une bonne solution qui vous permet de personnaliser les cookies soumis au consentement. Tarteaucitron est recommandé par la CNIL.

Votre politique de confidentialité va donc citer les cookies Google Analytics comme étant des données non personnelles et donc non soumises au consentement.

Sources utilisées :

https://www.formations-analytics.com/google-tag-manager-google-analytics-et-rgpd/

Pour aller plus loin, vous pouvez aussi consulter une vue d’ensemble sur Google Analytics.