[Résolu] Google Analytics

Bonjour à tous
J'ai cherché en vain des informations compréhensibles sur un message récemment reçu de Google, message rédigé en anglais et qui ressemble à un parapluie juridique dont je ne comprends pas grand chose.
Personne n'a répondu à ma demande d'info sur le site Google Webmasters.
A votre avis, que convient il de faire?
Voici le message en question:

Dear Google Analytics Administrator,
Over the past year we've shared how we are preparing to meet the requirements of the GDPR, the new data protection law coming into force on May 25, 2018. Today we are sharing more about important product changes that may impact your Google Analytics data, and other updates in preparation for the GDPR. This e-mail requires your attention and action even if your users are not based in the European Economic Area (EEA).
Product Updates
Today we introduced granular data retention controls that allow you to manage how long your user and event data is held on our servers. Starting May 25, 2018, user and event data will be retained according to these settings; Google Analytics will automatically delete user and event data that is older than the retention period you select. Note that these settings will not affect reports based on aggregated data.
Action: Please review these data retention settings and modify as needed.
Before May 25, we will also introduce a new user deletion tool that allows you to manage the deletion of all data associated with an individual user (e.g. site visitor) from your Google Analytics and/or Analytics 360 properties. This new automated tool will work based on any of the common identifiers sent to Analytics Client ID (i.e. standard Google Analytics first party cookie), User ID (if enabled), or App Instance ID (if using Google Analytics for Firebase). Details will be available on our Developers site shortly.
As always, we remain committed to providing ways to safeguard your data. Google Analytics and Analytics 360 will continue to offer a number of other features and policies around data collection, use, and retention to assist you in safeguarding your data. For example, features for customizable cookie settings, privacy controls, data sharing settings, data deletion on account termination, and IP anonymization may prove useful as you evaluate the impact of the GDPR for your company’s unique situation and Analytics implementation.
Contract And User Consent Related Updates
Contract changes
Google has been rolling out updates to our contractual terms for many products since last August, reflecting Google’s status as either data processor or data controller under the new law (see full classification of our Ads products). The new GDPR terms will supplement your current contract with Google and will come into force on May 25, 2018.
In both Google Analytics and Analytics 360, Google operates as a processor of personal data that is handled in the service.

    For Google Analytics clients based outside the EEA and all Analytics 360 customers, updated data processing terms are available for your review/acceptance in your accounts (Admin ? Account Settings).
    For Google Analytics clients based in the EEA, updated data processing terms have already been included in your terms.
    If you don’t contract with Google for your use of our measurement products, you should seek advice from the parties with whom you contract.

Updated EU User Consent Policy
Per our advertising features policy, both Google Analytics and Analytics 360 customers using advertising features must comply with Google’s EU User Consent Policy. Google's EU User Consent Policy is being updated to reflect new legal requirements of the GDPR. It sets out your responsibilities for making disclosures to, and obtaining consent from, end users of your sites and apps in the EEA.
Action: Even if you are not based in the EEA, please consider together with your legal department or advisors, whether your business will be in scope of the GDPR when using Google Analytics and Analytics 360 and review/accept the updated data processing terms as well as define your path for compliance with the EU User Consent Policy.
Find Out More
You can refer to privacy.google.com/businesses to learn more about Google’s data privacy policies and approach, as well as view our data processing terms.
We will continue to share further information on our plans in the coming weeks and will update relevant developer and help center documentation where necessary.
Thanks,
The Google Analytics Team

Bonjour,

cela est lié aux RGPD, (règlement sur la protection des données).

Actuellement Google Analytics n'est pas certifié RGPD et doit évoluer au risque d'être plus un gouffre financier pour les admins.

Aujourd'hui GA conserve beaucoup (trop) d'informations sur les visiteurs et notamment des adresses ip afin d'optimiser la pub.

A partir du 26 Mai (au matin) ces pratiques vont être strictement encadrées pour tous les Européens (cela s'applique aussi aux simple résidents).

Donc à partir du 26 Mai, la collecte des données utilisateurs doit être limité, que se soit en quantité, en durée et en légitimité. (bien sûr je fais un résumé ultra simpliste du RGPD).

En gros, un utilisateur est et reste propriétaire des ses données personnelles, elle ne doivent pas être récoltées, utilisées, stockées ou partagées SANS qu'il n'est donnée son accord légitime ET explicite chose de GA ne permet pas (pour le moment).

Si tu veux plus d'infos en MP

Oui, c'est bien ce que j'ai compris, et personnellement cela me semble un progrès, car Google s'immisce trop dans la vie de chacun. Malheureusement, je pense que ce qui va changer, c'est la communication de ces infos à des tiers, dont les webmasters que nous sommes, mais que Google continuera a les collecter et à en faire l'usage qu'il juge bon.
N'étant en charge que de sites non commerciaux, je suis tout à fait d'accord pour mettre une croix dans la case disant que j'ai bien compris, mais sur quelles cases cocher?
Est-ce que les options suivantes vous semblent les bonnes?

il va falloir que j'aille regarder en profondeur les options mais me semble pas mal.

Après le RGPD n'interdit pas tout, il limite les excès et protège l'utilisateur final, donc si l'utilisateur est complètement informé de l'usage des ses données et qu'en toute conscience il l'autorise il n'y a pas de problème.
il ne faut pas oublier qu'il faut limiter au juste nécessaire la collecte des données.
Par exemple: une inscription à une news letter impose forcement un nom ou un pseudo + une adresse mail, mais si en plus on demande une date de naissance, un téléphone, une adresse postal etc là par contre on rentre dans une demande non légitime donc il faudra faire très attention avec les formulaires de contact ...

Sinon, il faudra surtout allez voir tu côté du JS (de GA) afin de le mettre à jour.
- collecte de données et Conservation des données.

C'est à vous de déterminer le délai réellement nécessaire (légitime) de conservation des données il doit être n'y trop court n'y trop long tout dépend de l’activité et de la finalité de l'usage.

Pour compléter, pour pouvoir utiliser google analytics vous devez :

- obtenir le consentement de votre utilisateur explicitement. C'est a dire que c'est terminé les textes du type "en utilisant ce site vous acceptez les cookies, bla bla bla" que l'on voit partout pour pouvoir utiliser globalement les cookies sur un site. Vous devez mettre en place une case à cocher, non cochée par défaut, autorisant la collecte des données dans le cadre de google analytics (même chose pour votre site ou les autres services tiers que vous voulez utiliser).

- enregistrer ce consentement dans une base de donnée quelconque.

- permettre la révocation de son consentement. Avec rgpd l'acceptation d'un consentement doit être aussi simple que sa révocation.

En gros google est entrain de blinder ses conditions d'utilisation et ce sera a vous de mettre en conformité votre site internet. Le fait d'être un particulier ou une association n'y change rien.

D'autre part la conservation illimitée des données n'est plus autorisée donc si vous avez d'anciennes données dans google analytics vous allez les perdre (plus de 3 ans il me semble).

Globalement cela va être beaucoup plus difficile d'utiliser des services comme google analytics et on ne pourra plus tout collecter comme on le faisait avant.

De même l'exploitation des données d'analytics par google pour faire de la publicité ciblée avec adsense, par exemple, n'est normalement plus possible sans consentement explicite de vos utilisateurs (donc il faudrait une autre case a cocher pour autoriser google à faire cela). Je ne sais pas si google a communiqué là dessus.

Tiens, une question au sujet du RGPD.

Les statistiques de sites sont bien une collecte de données (adresses IP, localisations géographiques, heures de connexions, téléchargements, etc). Qui en est responsable, la société qui met en œuvre les statistiques ou le webmaster du site ?

Ces statistiques sont-elles concernées par ce règlement ?

Merci pour les réponses, car pour obtenir une personne compétente de la CNIL au téléphone, il faut être patient.

Bon! après avoir consulté le propriétaire du site j'ai appliqué le formulaire dont j'ai mis la capture d'écran plus haut.
On verra bien ce qu'il en est.
Ce n'est évidement pas la même chose pour les gens qui collectent des données sur leurs clients. Mais comme ce n'est pas le cas pour les sites que je gère, je fais au plus pressé.
Il n'y a même pas de cookies, autres que celui créé par Google, mais je ne considère pas que c'est directement mon problème.
Merci de vos réponses.
Modifié par PapyJP (09 May 2018 - 22:05)

Bongota a écrit :
Tiens, une question au sujet du RGPD.

Les statistiques de sites sont bien une collecte de données (adresses IP, localisations géographiques, heures de connexions, téléchargements, etc). Qui en est responsable, la société qui met en œuvre les statistiques ou le webmaster du site ?

Ces statistiques sont-elles concernées par ce règlement ?

Merci pour les réponses, car pour obtenir une personne compétente de la CNIL au téléphone, il faut être patient.

bonjour,

les deux.

Le RGPD inscrit le principe de coresponsabilité, l'éditeur du site est tout autant responsable que ses sous-traitants.
Ce qui veux dire que le webmaster doit mettre son site en conformité et s'assurer que ses sous-traitant sont aussi en conformité.

De plus il faudra tenir un registre des activités voir dans certains cas faire une étude d'impact avant de mettre en place une politique de collecte d’informations (données personnelles).

Le RGPD ne s'applique qu'aux données collectées (légitimement) le traitement qui en est fait appartient à la société les ayant réalisés, cependant celles-ci se doivent d'être anonymisé afin de ne pas pouvoir faire de rapprochement avec une personne physique.

Elle doivent prendre en compte la possibilité du retrait du consentement de l'utilisateur, de sa demande de suppression, de sa demande d'information.

Tous utilisateur ayant donné sont accord pour l'usage des ses données personnelles à un droit de regard sur les traitements réalisés.
Modifié par biduletruck (10 May 2018 - 11:57)