Google Analytics et la mise en conformité RGPD : que devez vous faire ?
Depuis mi avril 2018 les administrateurs de comptes Google Analytics reçoivent des emails de Google Analytics qui se met en conformité avec le Règlement Général sur la Protection des Données (RGPD) entrant en vigueur le 25 mai 2018.
Pour mémoire ce règlement européen s’appliquera uniformément à toute entreprise, quel que soit son état membre, amenée à collecter et manipuler des données personnelles. Il précise les obligations des responsables des traitements, les droits des personnes et renforce considérablement les sanctions possibles.
Voici entre autres quelques obligations pour l’entreprise :
- L’enregistrement des consentements explicites des utilisateurs et leur information.
- La traçabilité et la documentation des traitements pour en démontrer la conformité, l’analyse d’impact relative à la protection des données.
- Les droits d’accès et de modification, le droit à l’oubli et le droit à la portabilité d’une entreprise à l’autre.
- La prise en compte de la responsabilité des sous traitants.
- L’obligation d’information de l’autorité et des personnes des failles de sécurité sur les données personnelles.
- L’obligation de respecter les principes de protection dès la conception (« privacy by design ») et de protection par des données par défaut (« privacy by default »), de cryptage.
- L’obligation dans certains cas de nommer un DPO.
En tant qu’administrateur de Google Analytics vous devez effectuer 4 actions :
- Accepter les modifications sur le traitement des données
- Déclarer les administrateurs de ces données
- Valider le temps de rétention des données
- Mettre à jour les CGU de votre site web, si vous utilisez les fonctionnalités de publicité de Google Analytics
1 - Accepter les modifications sur le traitement des données
Google vous informe que vous ne devez pas envoyer d’infos sensibles d’utilisateurs à Analytics, que vous pourrez supprimer les données d’un utilisateur et que vous êtes responsables des accès que vous autorisez à ces données.
Attention donc aux accès que vous avez accordés dans Administration > Gestion des utilisateurs.
Accès
Google Analytics (pour le compte concerné) > Administration > Paramètres du compte > Consulter la modification (en bas de la page)
Que faire ?
Accepter la modification.
2 - Déclarer qui administre ces données dans votre entreprise
Vous devez préciser qui gère ces données.
Accès
Google Analytics (pour le compte concerné) > Administration > Paramètres du compte > Gérer les détails du GPA (en bas de la page)
Que faire ?
« Personnalité juridique » : renseignez le nom de votre entreprise.
« Contacts » : renseignez les 3 profils demandés par le RGPD (au moins un contact principal obligatoire, délégué à la protection des données ou DPO - Data Protection Officer). Ces 3 profils peuvent être assurés par la même personne, ils peuvent être externes à votre entreprise.
Remarques :
- si vous possédez plusieurs comptes et/ou produits de la suite Analytics 360, afin de ne pas refaire ces déclarations plusieurs fois vous pouvez utiliser Google Suite Home
- si le DPO est un salarié, un avenant au contrat de travail doit préciser son rôle; ce ne peut être un membre de l'équipe dirigeante
3 - Valider ou modifier le temps de rétention
Google Analytics a mis à disposition un nouveau module permettant de modifier la durée de rétention des données des utilisateurs. Cette limite s’applique aux utilisateurs et leurs informations associées au cours de leur parcours Analytics. Elle n’est pas définie actuellement et le sera plus clairement à partir de la mise en oeuvre du RGPD le 25 mai 2018.
Accès
Pour toutes les propriétés de votre compte Analytics : Administration > Propriété > Informations de suivi > Conservation des données
Que faire ?
Par défaut la durée de rétention est fixée par Google à 26 mois renouvelée à chaque nouvelle activité de l’utilisateur. Cette politique devra être révisée à partir de la mise en place du RGPD, le 25 mai 2018.
4 - Dans le cas ou vous utilisez les fonctionnalités de publicité Google Analytics …
Si vous avez activé les fonctionnalités de publicité Google Analytics (qui permettent de recueillir des rapports sur les données démographiques et les centres d'intérêt), vous recueillez alors des données complémentaires en plus des informations recueillies de manière standard par Analytics.
Accès
Pour le savoir : pour chaque Propriétés > Paramètres de la propriété
puis vérifiez si l’option “ Fonctionnalités de publicité / Activer les rapports sur les données démographiques et les centres d'intérêt” est activée.
Que faire ?
Si l’option est activée, il faut le préciser de façon explicite dans les conditions générales / règles de confidentialité du site web concerné. Il faut également préciser que vos utilisateurs peuvent désactiver cette fonction avec un module Google
Remarque
Google devrait mettre à disposition avant le 25 mai 2018 un outils permettant de supprimer toutes les données d’un utilisateur.