En 2022, plusieurs entreprises Françaises ont été épinglées car leur utilisation de Google Analytics n’était pas en conformité avec le RGPD de la CNIL. On vous explique pourquoi et comment ne pas faire les mêmes erreurs.

Vous recherchez une agence Google Ads ?

Contexte

Google est basé aux Etats-Unis où les garanties de protection des données sont moins élevées que dans l’union Européenne.

En juillet 2020, la cour de justice européenne a invalidé le Privacy Shield, dispositif qui encadrait les données de l’union européenne vers les Etats-Unis et qui simplifierait grandement le quotidien des e-commerçant. Le transfert est depuis autorisé mais réglementé avec la nécessité d’avoir des garanties spécifiques pour respecter la RGPD.

Plusieurs entreprises Françaises n’ayant pas mis en place de procédures additionnelles pour protéger les données ont été mis en demeure de se mettre en conformité.

principes clés pour respecter la rgpd

Comment se mettre en conformité ?

GA4 avec une installation client-side (comprendre une installation classique) n’est PAS conforme à la RGPD (même avec le consent mode).

Cela est dû au fait que :

  • les adresses IPs sont envoyées en entier chez Google (même si elles sont anonymisées à l’arrivée)
  • le client_id n’est pas pseudonymisé.

La CNIL estime que seule une solution pour rompre le contact entre le terminal et le serveur permettrait d’éviter le transfert illégal de données vers les US.

Pour avoir une installation GA4 conforme avec le RGPD, il ya donc deux possibilités :

  1. En serveur-side (sous réserve qu’il soit hébergé dans l’UE)
  2. En client-side si on utilise le consent mode et uniquement AVEC une solution tierce (il y a notamment Eurelian.io ou Sirdata qui garantissent la conformité RGPD).

Pour éviter tout contact entre l’utilisateur et les serveurs Google, le proxy devra respecter certains critères comme :

  • Absence de transfert de l’adresse IP vers les serveurs de Google Analytics
  • Absence de collecte d’identifiants entre sites ou déterministes
  • Remplacement de l’identifiant utilisateur
  • Retraitement des informations participant à la génération d’un fingerprint
  • Suppression de la donnée site référent externe au site, tout paramètre contenu dans les url collectées (ex. UTM) et de toutes données pouvant conduire à une réidentification

Horizon 2023

Une chose est sûre, nous n’avons pas fini d’entendre parler du sujet mais des solutions commencent à se dessiner. Google travaille sur des moyens de rendre GA4 compatible RGPD sans solution tierce, ce qui s’implifirait grandement la vie des annonceurs. en parallèle, un nouveau bouclier européen de protection des données « Privacy Shield 2 » devrait arriver entre fin 2022 et début 2023.

Nous garderons l’oeil ouvert pour vous informer des évolutions !