RGPD et Google Analytics – Comment mettre en place son tracking analytics tout en étant conforme ?

Article publié en avril 2021 par Nicolas Chollet
⚠️
Attention : ce sujet varie très rapidement. Certaines des recommandations peuvent avoir évolué depuis son écriture.

La question est simple : dans quelle condition puis-je déclencher le tracking Google Analytics, tout en étant “RGPD-compliant” ?
En réalité, le sujet est plus complexe qu’il n’y paraît. D’une part car il est intrinsèquement complexe, mêlant des sujets juridiques et des sujets techniques. D’autre part car il évolue, au fur et à mesure des prises de position de la CNIL (pour la France). Enfin, car on peut lire des choses contradictoires, voire fausses, sur internet.
Dans cet article, nous ne rentrerons pas dans le détail des questionnements théoriques, mais allons au contraire rester très pratiques.

Que dit la CNIL ?

La CNIL a été claire sur le sujet. C’est ici : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

Le cas général = le consentement

Par défaut, il faut considérer qu’avant de déposer un cookie, il convient d’obtenir le consentement valide de l’internaute. En particulier pour :
  • Les cookies liés aux opérations relatives à la publicité.
  • Les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux.
  • Certains cookies de mesure d’audience.

Les exceptions = consentement non nécessaire

Il est possible d’utiliser des cookies sans consentement préalable, pour des raisons de bon fonctionnement du site, et suite à une action de l’utilisateur. Par exemple pour gérer un panier d’achat, pour un choix de langue ou de préférences, ou pour “persister” une cession.
Il est aussi possible de mesurer des audiences web en l’absence de consentement selon certaines conditions (https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience)
Les conditions clé sont les suivantes (outre le devoir d’information et d’opposition)
  • Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple).
  • Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
  • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
  • Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
  • les données de fréquentation brutes ne doivent pas non plus être conservées plus de 13 mois.
C’est sur la base de ces principes que des outils comme Matomo ou ATInternet proposent des implémentations “RGPD-compliant”, même sans consentement.

Et Google Analytics ?

La lecture de ces conditions a amené certaines personnes à proposer des implémentations de Google Analytics sans consentement, avec des réglages appropriés (durée du cookie, anonymisation des IPs….).
Le soucis, c’est que même avec cela, Google Analytics ne respecte pas les conditions de la CNIL. En effet, Google refuse de garantir que les données recueillies ne sont pas utilisées à d’autres finalités.
Donc pour conclure simplement : aucune implémentation de Google Analytics ne permet de se passer de consentement avant déclenchement du tag
Bon, sauf peut-être une implémentation “server-side” bien faite. Mais au bout d’un moment, on peut se demander quel est l’intérêt d’utiliser Google analytics… si vraiment vous êtes intéressé, c’est ici : https://developers.google.com/analytics/devguides/collection/protocol/v1/

Mise en oeuvre du consentement

Maintenant que nous savons qu’il est indispensable d’obtenir le consentement de l’utilisateur pour déclencher le tag analytics, encore faut-il le faire correctement 😀
Exemple de bannière de consentement conforme : les cases ne sont pas pré-cochées. Elle permet de tout accepter et de tout refuser de manière symétrique. Elle permet d’accéder au détail, et d’affiner les choix.
Exemple de bannière de consentement conforme : les cases ne sont pas pré-cochées. Elle permet de tout accepter et de tout refuser de manière symétrique. Elle permet d’accéder au détail, et d’affiner les choix.

Utiliser une CMP (Consent Management Platform)

Bien qu’il soit possible de mettre en oeuvre le recueil du consentement soi-même, nous recommandons l’utilisation d’une “CMP”. Cela permet de gagner du temps, mais aussi de s’assurer de rester à jour des évolutions réglementaires.
En effet, le sujet devient de plus en plus complexe avec la multiplication des réglementations nationales, qui sont pour la plupart “extra-territoriales”, c’est à dire qu’elles s’appliquent de fait à tous les sites touchant des visiteurs dans chaque pays. Citons en particulier la RGPD et la directive ePrivacy en Europe, le California Consumer Privacy Act (CCPA) en Californie, la “LGPD” au Brésil, ou encore le “IAB Consent Framework” si vous êtes concerné.
Nous complèterons par un article dédié aux CMPs, mais citons quelques uns des acteurs avec lesquels nous avons l’habitude de travailler :
  • Didomi, un acteur Français en pleine croissance, que nous recommandons sans hésiter
  • OneTrust, le mastodonte, présent sur tous les sujets de compliance.
Nous ne rentrerons pas ici dans le détail d’une bonne implémentation, mais répondons déjà aux questions les plus fréquentes.

Le consentement “tacite” est-il valable ?

Le consentement tacite est ce qu’on trouve encore sur de nombreux sites : “en continuant votre navigation, etc….”. Le consentement est alors considéré comme acquis dès lors qu’il y a une action : scroll, ou visite d’une autre page.
La réponse est NON : ce mode de consentement n’est pas valable.
Là aussi la CNIL a été très claire : même s’il y a eu pendant longtemps une tolérance sur ce sujet, cela ne devrait plus être le cas aujourd’hui (depuis juillet 2020). https://www.eurojuris.fr/articles/cookie-et-consentement-internaute-38519.htm
Ceci dit, il faut bien admettre que peu de sites ont mis en place ce consentement strict, encore aujourd’hui, par peur de ne plus être capable de mesurer correctement les audiences, et donc la performance des canaux d’acquisition.
Exemple de demande de consentement non valide. D’une part, on considère que la poursuite de la navigation vaut consentement. D’autre part, il n’y a pas de bouton pour refuser tout d’un seul clic. Et enfin, les cookies sont de toutes les manières déposés avant même que l’internaute fasse la moindre action.
Exemple de demande de consentement non valide. D’une part, on considère que la poursuite de la navigation vaut consentement. D’autre part, il n’y a pas de bouton pour refuser tout d’un seul clic. Et enfin, les cookies sont de toutes les manières déposés avant même que l’internaute fasse la moindre action.

La mise en place du consentement fait-il baisser mes statistiques de visite dans Google Analytics ?

OUI. Même si en réalité le nombre de visiteurs ne diminue pas, il y a un impact non négligeable sur la mesure, car tous les utilisateurs qui ne consentent pas (donc qui refusent, ou qui tout simplement continuent à naviguer sans consentir) sont exclus des statistiques remontées dans Google Analytics.
Il faut donc s’attendre, en fonction de la manière dont le consentement est demandé et de votre audience, à des baisses de l’ordre de 10 à 50% en terme de nombre de visiteurs mesurés.

Puis-je refuser d’exposer mon site aux utilisateurs qui refusent le consentement ?

Cela s’appelle un “Cookie Wall”. Le sujet n’est pas tranché, puisque la CNIL avait souhaité interdire l’utilisation de “Cookie Walls”, mais que cette position a été censurée par le conseil d’état lors d’une décision du 19 juin 2020.
Il convient donc d’attendre encore afin de voir comment la CNIL va adapter ses lignes directrices pour prendre en compte cette décision.

“Consentir, oui mais à quoi ?

Vous l’aurez noté, le consentement n’est pas un simple oui / non. L’utilisateur peut choisir les finalités, voire même les sociétés, à qui il donne son consentement.
Or, le tag Google analytics sert en réalité à deux choses :
  • La mesure d’audience
  • Du tracking publicitaire (en fonction des réglages effectués).
Il faut donc être très prudent sur le respect des finalités acceptées par l’internaute. Et en particulier, ne pas déclencher de tracking publicitaire si l’internaute ne l’a pas accepté.
Pour plus de détail à ce sujet, je vous invite à vous rendre sur le toujours excellent blog de Simo Ahava : https://www.simoahava.com/analytics/allow-block-advertising-features-google-analytics/
Nous reprenons ici les réglages de base :

Activer / désactiver le suivi publicitaire dans Google Analytics

Dans “Google Analytics → Admin → Data collection. Il est possible de choisir si oui ou non on souhaite activer la collecte de donnée liée à de la publicité :
Image without caption
A noter que cette vue est en train de changer, car si vous activez “Google Signals, vous aurez alors la vue suivante :
Image without caption
Si on souhaite activer les finalités publicitaires de Google Analytics, cela veut dire qu’il faut donc dissocier les utilisateurs qui ont accepté, via leur consentement la finalité “statistiques”, de ceux qui ont accepté également la finalité “marketing”.
Pour faire simple :
  • Si vous n’utilisez pas du tout les fonctionnalités de remarketing de Google, et si vous n’affichez pas de publicité sur votre site, désactivez la collecte de données publicitaires dans Google Analytics
  • Dans les autres cas, vous devrez gérer cela au cas par cas en fonction du consentement de l’internaute. Dans le paragraphe suivant, nous montrons comment le mettre en oeuvre dans Google Tag Manager :

Désactiver le suivi publicitaire dans Google Tag Manager

Quel que soit le réglage effectué dans Google Analytics, il est possible de l’affiner dans Google Tag Manager. Dans → “configuration du tag analytics” → More Settings → “Advertising”
Image without caption
Mais que faire donc si un utilisateur donne son consentement pour les statistiques, mais pas pour la publicité ? Il existe pour cela deux possibilités :

Option 1 : utiliser l’attribut “allowAdFeatures”

Toujours dans la configuration du tag analytics → More Settings → Fields to set.
Il existe un attribut “allowAdFeatures“, qui peut prendre la valeur true ou false
Image without caption
La bonne pratique serait donc de :
  1. Dans Google analytics, activer la fonctionnalité de tracking publicitaire
  1. Avoir la Feature Advertising sur “false” par défaut
  1. Utiliser le champ allowAdFeatures pour bloquer ou laisser passer les cookies publicitaires de manière dynamique en fonction du consentement.

Option 2 : utiliser des “triggers” différenciés

Une autre option consiste à avoir des triggers différents selon si l’utilisateur a accepté l’ensemble des finalités, ou seulement le suivi statistique. Comme l’exemple ci-dessous :
Image without caption

Bonus : faut-il anonymiser les IPs dans Google Analytics ?

En théorie c’est une bonne idée, puisqu’il s’agit d’une donnée personnelle. Mais sachant que dans tous les cas, nous souhaitons avoir le consentement de l’utilisateur pour déclencher le tag, il devient inutile de l’anonymiser.
Ceci dit, c’est assez simple (cf capture d’écran plus haut), donc pourquoi pas. La seule information qui est perdue par ce biais, est la localisation précise (par ville) des internautes, qui devient donc moins précise dans les rapports Google Analytics.

En conclusion : ce qu’il faut retenir

Le sujet du tracking et de la RGPD évolue sans cesse. Si vous avez des questions ou des remarques, ou si vous souhaitez en savoir plus sur votre cas particulier, posez votre question en commentaire, ou contactez-nous : contact@unnest.co

Puis-je déclencher mon suivi Google analytics sans consentement ?

Non. Et ce quel que soit le réglage de Google Analytics.

Comment recueillir le consentement ?

Nous recommandons l’utilisation d’une CMP. Attention : utiliser une CMP ne suffit pas. Il faut d’une part implémenter correctement la collecte du consentement, et d’autre part s’assurer que tous les tags et cookies de traçage sont bien conditionnés au consentement.

Peut-on activer les fonctionnalités de remarketing de Google analytics ?

Oui, si on a le consentement pour cela. Cela signifie qu’il faut avoir une implémentation différenciée du tag Google Analytics en fonction du consentement de chaque utilisateur.

Ressources

Outre les ressources cités dans l’article, voici quelques liens intéressants :