Le point sur la GDPR : application côté Web Analytics

La mise en conformité des entreprises au GDPR (General Data Protection Regulation) d’ici mai 2018 est le sujet du moment compte tenu de la technicité et l’interprétation de ces directives dans un environnement digital toujours plus complexe, des multiples systèmes de Tracking et Retargeting dont la maitrise vous échappe souvent :

• Cookies First Party : Cookie stockant de la donnée personnelle ou pseudo-anonymisée mais que seul votre site peut lire.
• Cookies Thrid Party: Cookie stockant de la donnée généralement pseudo-anonymisée mais dont le contenu est accessible par des tiers.
• Script Média ou de Retargeting qui généré des cookies tiers et du tracking en collectant autant de données utilisateur que possible.
• Système de tracking coté Navigateur (« Client Side ») collectant de la donnée personnelle, type Google Analytics
• Système de tracking coté Serveur (« Server Side ») collectant de la donnée personnelle, log files ou tracking server avec le Measurement Protocol GA.
• Local Storage : équivalent aux cookies en plus puissant mais avec une procédure d’effacement plus complexe.

Dans le cadre de ce processus, qui vise à protéger toujours plus l’utilisateur, il est primordial de prendre conscience de l’empreinte numérique générée par tout interaction de l’utilisateur avec votre écosystème digital, qui collecte, génère et diffuse directement ou indirectement des données personnelles.

Les données personnelles ne sont pas limitées aux noms ou aux adresses e-mail, mais peuvent couvrir un nombre illimité d’aspects, notamment les adresses IP, les coordonnées GPS, les numéros de téléphone ou tout élément permettant d’identifier un individu. Mais GDPR introduit une nouvelle catégorie de donnée : la « pseudonymous data » ce qui inclut les identifiants présents dans les cookies et c’est là la nouveauté.

L’aspect important du GDPR auquel vous devez réfléchir est la liste des droits qui doivent être respectées par les processeurs et les collecteurs de données.La liste comprend :

• Droit d’accès aux données par la personne concernée (Section 2, Art 15).
• Droit de rectification des données inexactes (Section 3, Art 16).
• Droit d’effacement : « droit à l’oubli »  (Section 3, Art 17).
• Droit à la limitation du traitement (Section 3, Art 18).
• Droit à la portabilité des données (Section 3, Art 20).

Côté Web Analytics, ici nous traitons du Droit à la limitation du traitement, le reste des droits relevant d’un projet plus global (IT, Data, Legal, Compliance, RH,… )…de belles heures de réunion en perspective avec tous les départements pour échanger sur le GDPR.

Le texte de loi ne donne pas d’instructions spécifiques pour l’obtention d’une autorisation de traiter des données personnelles. Cependant, le GDPR précise qu’une action affirmative de l’utilisateur est requise ce qui inclut :

• Le paramétrage technique du dispositif, on comprend au niveau du navigateur.
• En cochant une case sur un site Web, de l’Optin.
• Une déclaration ou formulaire clarifiant l’indication du consentement.

Et parmi les formes insuffisantes, le GDPR précise les points suivants : Le silence ne vaut consentement, les tick box pré-remplies ne sont pas acceptées ainsi que l’inactivité qui ne vaut consentement.

Pour pallier à ces directives un peu floues, le projet de règlement sur la protection de la vie privée qui vient compléter la directive GDPR mais n’est encore qu’une ébauche repose davantage sur le consentement des utilisateurs que le RGPD. La dernière version du règlement souligne que :

Le fournisseur du service de communications électroniques peut traiter des données uniquement pour la fourniture d’un service explicitement demandé et sans le consentement de tous les utilisateurs lorsque ce traitement demandé ne permet pas de nuire aux droits fondamentaux et aux intérêts d’un utilisateur.

Aucun consentement n’est requis pour les cookies qui sont techniquement nécessaires pour mesurer la portée d’un service à condition que cette mesure :

• Soit effectuée par le fournisseur ou pour le compte du fournisseur.
• Les données agrégées.
• L’utilisateur a la possibilité de s’opposer à la collecte.
• Aucune donnée personnelle n’est rendue accessible à des tiers.
• Les données analytics sont conservées séparément.

Conclusion, on peut mettre en place avec Google Tag Manager, Google Analytics et un inspecteur de requêtes Web quelques bonnes pratique pour se préparer à GDPR :

• Gérer l’Optout Google Analytics et DoubleClick… c’est plus simple avec l’excellent tutorial de Simo.
• Lister et auditer régulièrement les Cookies par typologie … les solutions se multiplient et je n’ai pas encore de recommandation sur le choix de l’outil , l’inspection manuelle reste encore la solution la plus fiable et gérer l’Optout est facilité avec GTM.
• Suppressions de PII (données personnelles) … encore une fois c’est plus simple avec Simo.
• Pour ajouter plus de sécurité à l’accès à vos données, activer la validation en deux étapes.
• Interpréter le Do Not Track, on ne sait jamais cette initiative un peu désuète à mon sens pourrait émerger à nouveau.
• N’utiliser des vues Users ID qu’avec Google Analytics Premium car en version gratuite GA vous n’êtes pas propriétaire des données
• Indiquer l’anonymyze IP dans les Call GA… avec GTM c’est assez simple.

En espérant que ce post vous a un peu éclairé… des interrogations persistent pour tous notamment pour traiter le point concernant l’effacement des données, Google ne fournit pas de solution mais y travaille on peut espérer que d’ici quelques mois la solution sera « compliant » : https://blog.google/topics/google-cloud/google-cloud-our-commitment-general-data-protection-regulation-gdpr/

Ironie de la technologie et technocratie toutes les consentements sont gérés dans un….. « Cookie »… Goog Luck!