Un règlement général sur la protection des données a fait son apparition et entraîne une réelle transformation du monde digital. La CNIL ou Commission nationale de l’informatique et des libertés met en demeure tout gestionnaire d’un site web français qui ne se conforme pas au RGPD. Il est donc important de réaliser des configurations pour pouvoir être en conformité avec cette nouvelle réglementation RGPD. Cela inclut la limitation de la durée de cookie à 13 mois.
Les règlements RGPD ont pour objectif de protéger les données personnelles des internautes, notamment :
- Numéro de téléphone ;
- Adresse mail ;
- Adresse IP ;
- Origine ethnique ;
- Orientation.
Par ailleurs, le RGPD permet également de réguler au mieux les informations collectées par les acteurs qui traitent les données. Les sous-traitants, partenaires ainsi que les responsables des données auront ainsi une grande responsabilité dans l’utilisation des données collectées.
Pour se conformer au règlement européen RGPD, chaque propriétaire d’un site web utilisant Google Analytics doit demander à ses visiteurs leur consentement pour le traitement de leurs données tous les 13 mois maximum.
Google Analytics met à la disposition du gestionnaire de compte une option qui permet de paramétrer la période de conservation des données personnelles. On a donc plusieurs choix : 14-26-38-50 mois.
Pour réaliser ce paramétrage, faut aller sur son compte GA et cliquer sur la partie « Administration ».
Ensuite, on part sur les « informations de suivi » et on va sur « Conservation des données ».
Sur ce, il suffit de choisir dans la liste procurée la période qui convient à ses besoins. Lorsque la période arrive à terme, les données personnelles seront alors supprimées dès le mois qui suit.
Toutefois, Google Analytics donne aussi l’opportunité de repousser cette date de suppression. Pour cela, il y a l’option « Réinitialiser lors d’une nouvelle activité ».
Afin d’être en parfaite conformité avec la RGPD, il existe plusieurs points qu’il faudra modifier sur son site. Il importe par exemple de supprimer toutes les données personnelles. Pour le transfert des bases de données de GA, une anonymisation des IPs est requise. En outre, il est nécessaire de proposer des opt-ins de consentement aux visiteurs. Et surtout, il faut se référer à la limite de la durée de cookie inférieure à 13 mois.
Pourtant, le cookie de « _GA» possède une durée de 24 mois.
Il faut comprendre que le paramétrage de durée de cookies de GA n’existe pas par défaut. Pourtant, il est important de se référer à la restriction des cookies à 13 mois de RGPD. Il va donc falloir réaliser certains changements pour pouvoir être en adéquation avec la loi RGPD. La méthode la plus simple consiste à utiliser Google TagManager et le cookie_ga pour réduire la durée conservation des cookies GA.
Voici donc les étapes à suivre :
Première étape : configurez la balise GA
Pour configurer la balise, rendez-vous dans la section « Configuration de la balise » de Google TagManager.
Sélectionnez ensuite le type de balise GA, et cliquez sur « nouvelle variable ».
Définissez votre variable, indiquez votre ID et cliquez sur « Enregistrer »
Deuxième étape : paramétrez le « Cookie_ga »
Identifiez d’abord le cookie_ga. Servez-vous de l’ID Google Analytics concerné.
Allez ensuite dans « IDomain de cookie » et nommez le cookie « cookie_ga ».
Rendez-vous dans « Champ à définir » et appelez la fonction « cookieexpires » avec une valeur « 33696000 secondes » (13 mois).
Troisième étape : réglez le numéro de compte GA
Pour éviter un paramètrage à chaque utilisation, fixez le compte Google Analytics en tant que donnée constante.
Pour cela, reliez la balise cookie_ga et les paramétrages GA.
Rendez-vous sur la configuration de la variable, prenez le nom « cookie_Ga » pour le champ « type de variable ».
Mettez une valeur automatique « auto » pour le nom du cookie.
Sélectionnez « variable liée » sur le champ « Références à cette variable ».
Pour plus d’informations quant à cette procédure, consultez l’aide officielle de Google Analytics.
La mise en demeure pour non-conformité au RGPD
Pour les gestionnaires qui ne respectent pas les règlements RGPD, il faut s’attendre à recevoir des sanctions. Celles-ci peuvent parfois être un simple avertissement. Certes, elles peuvent aussi se manifester par une mise en demeure du site ou encore le paiement d’une amende administrative sur le CA. Cette amende peut s’élever entre 10 et 20 millions d’euros (2 à 4 % du CA).
Néanmoins, il convient de savoir que la CNIL ne donne pas immédiatement les sanctions après une irrégularité constatée. Elle commence par envoyer un ou plusieurs avertissements. Si des mesures ne sont pas prises, elle procède à la limitation temporaire, voire même définitive du traitement des données. Puis, elle peut passer par une mise en demeure et une suspension des flux de données. La CNIL peut aussi retirer toutes les certifications acquises par le site.