RGPD et Google Analytics

Bonjour à tous.

Concrètement, pour un site vitrine simple avec simplement :
- page contact (avec nom, email, adresse, téléphone… ce genre d'infos personnelles) ;
- suivi via Google Analytics.

Concernant le premier, il suffit de bien mentionner dans les mentions légales à quoi servent les données personnelles collectées, que celles-ci ne sont pas revendues, ni conservées plus de… bref, rien de bien méchant.

Là où ça me pose problème c'est comment organiser, techniquement et légalement parlant, les données avec Google Analytics (GA) ? Est-ce que par défaut on active GA ? Et si la personne s'oppose à GA (car non indispensable au fonctionnement du site internet), je suppose que l'on doit stocker sa réponse dans un cookie (via JS) ?

Dites-moi car je suis un peu dans le flou.

Merci d'avance.

Je vais aller plus loin car mon problème est plus « subtil ».

Soit j'active GA par défaut avec le fameux bandeau « J'accepte » ou « Je refuse », mais si la personne s'oppose à l'utilisation de GA, comment je fais pour supprimer les données préalablement enregistrées ?

Soit je n'active pas GA et « j'attends » que la personne accepte (avec le fameux bandeau), mais dans ce GA est complètement faussé, voire inutile.

Et, dans les deux cas, ma question initiale : comment je gère tout cela techniquement quand la personne clique sur « J'accepte » ou « Je refuse » ?

Merci encore.
Modifié par atomekr (24 Jan 2019 - 19:30)

Personnellement j’ai désactivé GA.
Google vit des infos personnelles. En croisant les différents sites auxquels une personne se connecte ils récupèrent des informations très fines sur son profil.
Après quelques années j’ai réalisé que GA n’apporte pas d’avantage aux sites lambda.

A l'époque où l'on avait accès aux mots clef je trouvais ça génial, depuis la désactivation de cette fonction, il y a quelques années de cela maintenant, je n'y voit plus aucun intérêt (mais je ne suis pas pro).

Bonjour,
personnellement, je fais en sorte que Google Analytics ne soit pas "actif" sur mon navigateur, c'est tout.
Et oui, PapyJP, Google et d'autres tentent de nous pister, et c'est insupportable. Les cookies font déjà partie du passé, le "finger print" les ayant remplacés. Et il est bien plus difficile de s'en protéger.

atomekr a écrit :

Concernant le premier, il suffit de bien mentionner dans les mentions légales à quoi servent les données personnelles collectées, que celles-ci ne sont pas revendues, ni conservées plus de… bref, rien de bien méchant.

Il en faut un peu plus.

il faut s'assurer que les données soient protégées voir même crypté.
Il ne faut demander que les données essentielles (minimiser la collecte de données).
s'assurer ne de la portabilité des données
s'assurer de pouvoir à tout moment supprimer les données personnelles
s'assurer d'avoir le consentement de l’utilisateur pour l'utilisation des données
Lui donner la possibilité de retirer son consentement à tout moment.
Ne pas obliger l'utilisateur à fournir toutes ses données. (privacy by design // privacy by default)
lui indiqué où sont stocké les données, dans quelle pays, si celui-ci est bien autorisé à les stocké (conformité de l'entreprise au RGPD).
lui indiqué comment elles seront utilisées
lui indiqué vers qui et comment elles seront transmisses à des prestataires
Indiqué le nom du (des) responsable(s) du traitement (DPO local s'il y en a un ou le responsable du site // DPO du sous traitant ).

en gros quoi

biduletruck a écrit :

Il en faut un peu plus.

il faut s'assurer que les données soient protégées voir même crypté.
Il ne faut demander que les données essentielles (minimiser la collecte de données).
s'assurer ne de la portabilité des données
s'assurer de pouvoir à tout moment supprimer les données personnelles
s'assurer d'avoir le consentement de l’utilisateur pour l'utilisation des données
Lui donner la possibilité de retirer son consentement à tout moment.
Ne pas obliger l'utilisateur à fournir toutes ses données. (privacy by design // privacy by default)
lui indiqué où sont stocké les données, dans quelle pays, si celui-ci est bien autorisé à les stocké (conformité de l'entreprise au RGPD).
lui indiqué comment elles seront utilisées
lui indiqué vers qui et comment elles seront transmisses à des prestataires
Indiqué le nom du (des) responsable(s) du traitement (DPO local s'il y en a un ou le responsable du site // DPO du sous traitant ).

en gros quoi

Oui. Au temps pour moi. Ce que je voulais dire c'est que techniquement, il n'y a pas de problème. S'assurer de tout cela et tout indiquer dans les mentions légales.

C'est une question complexe, entre ce que demande le RGPD et ce qui est pratiqué.

Lucky me, pour la plupart des sites que je gère je me tamponne du RGPD n'y étant pas soumis (hors EU), j'ai tout de même dû m'y pencher pour un ou deux sites.

Il y a trois écoles:

1) Je met un bandeau avertissement pour informer de l’État de fait, deal with it. C'est l'ancienne méthode, c'est totalement RGPD incompatible.

2) Opt-out. Je trace par défaut et donne la possibilité de refuser pour les usages ultérieurs, aucune données n'est effacée. C'est pas vraiment RGPD compatible à 100%, mais si on combine avec l'option d'anonymisation de Google Analytics qui anonymise les IP (ou un autre outil équivalent), cela semble être la solution la plus appliquée.

3) Opt-in, je ne récolte ni trace rien tant que l'utilisateur n'a pas approuvé. C'est la solution 100% RGPD compatible, propre et morale. Seulement presque personne ne la pratique (pour les statistiques). C'est donc difficile de trouver des modules/plugins qui gèrent cela, personnellement j'ai dû le coder complètement (c'est pas la mort non plus).

Bonjour,

biduletruck et kustolovic donnent d'excellentes réponses ; je précise par contre qu'un site est concerné par le RGPD du moment que (de façon certaine) le visiteur est un ressortissant de l'UE présent dans l'UE tandis qu'en voyage ou installé hors UE ou un non-européen en voyage ou installé dans l'UE je sais pas/plus. Ça fait beaucoup de sites dans le monde et mis à part un intranet d'une administration américaine ou sud-africaine je ne vois pas trop d'exceptions
Pour éviter GA et ses pratiques, en plus de son mode anonymisé tu as des alternatives comme le service https://matomo.org ex-Piwik.

Le guide de la CNIL