GA4 et CNIL, Comment utiliser Google Analytics 4 en conformité avec la CNIL en 2024

GA4 est un outil puissant utilisé par des millions de sites web. 

Pourtant, son utilisation a été de nombreuses fois remise en cause en Europe en raison des préoccupations liées à la confidentialité et à la protection des données personnelles. 

En France, la CNIL (Commission nationale de l’informatique et des libertés) a joué un rôle important dans la régulation de cet outil. En l’interdisant temporairement avant de permettre son utilisation sous certaines conditions. 

Dans Cet article je tente de répondre à la question “où en sommes nous ?” dans le feuilleton Cnil GA4 et RGPD afin de t’aider à connaître tes droits sur l’utilisation de l’outil. & de répondre à la question : Comment utiliser Google Analytics 4 en conformité avec les exigences de la CNIL ?

Si tu veux te former à Google Analytics 4, j’ai rédigé un article qui te donne une méthode complète pour te lancer sur l’utilisation GA4, et un benchmark détaillé des meilleures formations gratuites GA4

Commençons rapidement par un résumé des grandes étapes de cette évolution réglementaire. Je t’expliquerai ensuite comment utiliser Google Analytics 4 (GA4) en conformité avec la CNIL en 2024.

Les rebondissements de la réglementation CNIL GA4

évolution de la réglementation CNIL pour l'utilisation de GA4

L’Invalidation du Privacy Shield (16 juillet 2020)

La première étape majeure a été l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne le 16 juillet 2020. 

Le Privacy Shield était un mécanisme qui permettait le transfert de données personnelles de l’UE vers les États-Unis tout en garantissant un niveau adéquat de protection des données. 

Avec son invalidation, les transferts de données vers les États-Unis sont devenus illégaux sans garanties supplémentaires. Résultat : interdit d’utiliser de nombreux services, y compris Google Analytics (source : Actualités juridiques et digitales) 

Première mise en demeure de la CNIL (10 février 2022)

Le 10 février 2022, la CNIL a officiellement mis en demeure un gestionnaire de site français utilisant Google Analytics. Motif : l’outil ne respecte pas le RGPD en raison des transferts de données vers les États-Unis sans protections adéquates.

La CNIL a donné un mois au gestionnaire pour se conformer ou cesser d’utiliser Google Analytics. (source : Actualités juridiques et digitales).

La Publication des Directives de la CNIL (7 juin 2022)

Face à la pression croissante, Google a travaillé sur des mesures pour se conformer aux exigences européennes. En réponse, la CNIL a publié des directives détaillées le 7 juin 2022, expliquant comment utiliser Google Analytics légalement. Ces directives incluaient des recommandations techniques telles que l’anonymisation des adresses IP et l’utilisation de serveurs proxy. Ce afin d’éviter les transferts de données vers les États-Unis (DataGuidance)

10 juillet 2023 : Privacy Shield 2

Le 10 Juillet 2023, la commission Européenne Adopte une nouvelle décision d’adéquation sur les transferts de données de l’Union européenne vers les États-Unis (Privacy Shield 2). 

Comme avant juillet 2020, on peut de nouveau transférer les données aux US “sans contraintes”.

Mais attention, qui dit utilisation autorisée, ne dit pas faire “n’importe quoi” avec les données collectées. Les grands principes du RGPD continuent de s’appliquer.

Comment utiliser Google Analytics 4 (GA4) en Conformité avec la CNIL

Disclaimer : je ne suis ni juriste, ni DPO, tout ce que je te propose ici comme conseil devra bien entendu être soumis à validation de ton DPO avant d’être mis en place.
 

De manière générale, des réglementations s’appliquent à tous les outils d’analyse basées sur les cookiesGoogle Analytics 4 (GA4) est la version la plus récente de l’outil. Cependant, pour l’utiliser en conformité avec la CNIL, plusieurs précautions sont à prendre.

Ce que nous dit la CNIL: 

D’après le RGPD, l’utilisation de Google Analytics 4 (et notamment de ses cookies) est soumise au consentement libre, éclairé et actif des utilisateurs. On doit informer les internautes qu’on utilise des cookies à des fins d’analyse, et on doit obtenir leur consentement avant de le faire. 

Ainsi, on peut traquer normalement les utilisateurs qui donnent leur consentement et on ne doit pas traquer les utilisateurs qui refusent le consentement.

Le RGPD nous impose également un temps de conservation maximal (“devant être en adéquation avec la finalité du traitement“). 

On doit aussi proposer une politique de vie privée qui explique en détail les données collectées, à quelle fin, combien de temps on les conserve et où on les conserve.

Voici donc ta to do list pour te mettre en conformité :

Paramétrage des Consentements Utilisateurs (consent mode)

La première chose à vérifier/paramétrer est ta bannière de cookies. Celle-ci doit spécifiquement demander le consentement pour l’utilisation des cookies de type analytics. Google propose désormais le consent mode (V2) pour aider les gestionnaire à se mettre en conformité avec les exigences de la CNIL. 

  1. Installe sur ton site une solution de gestion des consentements (CMP) compatible avec le RGPD et le Google CMP Partner Program. Voici les CMP compatibles.
  2. Configure la bannière de cookies pour obtenir un consentement explicite pour le suivi via Google Analytics.
  3. Intégre la CMP avec GA4 pour garantir que les données ne sont collectées qu’après obtention du consentement. Pour cela, l’utilisation de Google Tag Manager te facilite grandement la vie, notamment grâce aux plugin préconfigurés proposés par les CMP partenaires citées ci-dessus.

Signer le contrat Français

Lorsque tu ouvres ton compte Google Analytics 4, À la fin de la configuration du compte tu verras apparaître une popup. Il faut signer les conditions de Google Ireland et non pas Google LLC comme indiqué par défaut. (en sélectionnant France au lieu d’États-Unis). 
Ceci permet d’utiliser les fonctionnalités et spécificités Européennes de GA4 (qui sont plus à même de coller aux exigences de la réglementation européenne)
condition d'utilisation europe GA4

Association avec les autres produits Google conforme

Google permet de partager facilement les données GA4 avec d’autres produits, comme par exemple Google Ads à des fin de remarketing.
 
Si tu souhaites utiliser ces fonctionnalités, tu dois là aussi t’assurer d’avoir recueilli le consentement explicite de l’utilisateur pour cette finalité. 
 
Là encore, tu dois faire un paramétrage correct de ta CMP (bannière de consentement) et du consent mode afin de tenir compte de ces usages.
 
Le Consent mode V2 a introduit 2 nouveaux consentements “ad_user_data” et “ad_personalization” pour permettre à l’internaute de se positionner sur sa volonté à ce sujet.
consent mode V2 fonctionnement

 Configurations avancées dans GA4

En plus des mesures mentionnées, certaines configurations peuvent être de l’ordre de bonnes pratiques :

  1. (suggestion) Désactiver le partage de données avec Google :

    • Dans GA4, accède à Admin, puis à Compte et Détail du compte.
    • Désactive les options de partage de données pour limiter l’accès de Google aux données collectées.
  2. Paramétrer la durée de conservation des données :

    • Dans les Paramètres de GA4, sous collecte et modification des données, puis conservation des données, définis la durée de conservation des données en adéquation avec les exigences du RGPD. (par défaut à l’ouverture du compte GA4, elle est de 2 mois, tu peux la définir sur 2 ou 14 mois)

Dois-je anonymiser les Adresses IP ?

Dans GA4, l’anonymisation des adresses IP est active par défaut. Cela veut dire que GA4 ne stocke pas les adresses IP des utilisateurs, et ne peut pas les suivre.

L’anonymisation des adresses IP est automatique et ne nécessite aucune action manuelle, ce qui représente un des changements les plus importants par rapport à la version précédente (Universal Analytics) pour aider les utilisateurs à se conformer au RGPD.

Se tenir à jour

La conformité avec le RGPD et les directives de la CNIL est un processus continu. Comme tu peux le voir, la Saga CNIL GA4 n’a pas fini de nous donner le tournis !

Pour rester conforme au RGPD, je te recommande de : 

  1. Effectue des audits réguliers de ta configuration Google Analytics et de tes pratiques de collecte de données.
  2. Mettre à jour ta politique de confidentialité et informer tes utilisateurs de toute modification dans la collecte et le traitement des données.
  3. Surveiller les mises à jour réglementaires et ajuster tes pratiques en conséquence. La CNIL peut publier de nouvelles directives ou ajuster ses recommandations. Une astuce : se mettre une alerte google sur les sujet “cnil Google Analytics” peut être une bonne pratique.

Conclusion en 2 mots

L’évolution de la réglementation de GA4 par la CNIL reflète une préoccupation croissante pour la protection des données personnelles. Aujourd’hui, en respectant les paramétrages expliqués ci-dessus, tu peux utiliser Google Analytics 4 en te conformant aux exigences du RGPD et de la CNIL. 

Cependant, comme tu l’as vu, on n’en est peut-être pas au bout de nos surprises.

Il faut donc rester proactif et se tenir à la page pour rester conforme.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top