203 Membres en ligne
Questions / Réponses concernant les visites, sites référents, spam via Google Analytics
Guidez moi
star_border
Répondre

Google Analytics et RGPD

Novice ✭

Bonjour,

 

A partir du 25 mai 2008, Google Analytics offrira la possibilité de choisir la durée de conservation des données de notre compte, nous pourrons donc choisir parmi les propositions suivantes : 

  • 14 mois
  • 26 mois
  • 38 mois
  • 50 mois
  • Aucune expiration automatique

Aucune de ces durées n'est véritablement conseillée... Afin d'être en conformité avec le RGPD, pourriez-vous me dire quelle serait la durée à privilégier s'il vous plaît ? 

 

Merci d'avance pour votre retour Smiley heureux

Réponses des expertsverified_user

Google Analytics et RGPD

Top Contributeur

Bonjour,

 

GA vous donne le choix , c'est à vous d'utiliser l'option qui vous convient au mieux selon vos processus de traitement des data (liés à votre activité, métier...),  retranscrits ensuite au sein de votre politique de confidentialité des données personnelles de votre organisation.

 

Bien à vous

Maurice Largeron
Certifié Adwords/Analytics

Re: Google Analytics et RGPD

Novice ✭

Bonjour,

 

D'après la CNIL la durée de vie du cookie ne doit pas dépasser 13 mois.

Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite.

 

Ici, la période minimale est de 14 mois.

 

Est-ce que ces 2 points sont liés ou data retention et durée de vie du cookie sont 2 choses différentes ?

 

1. Dans le cas où ces données sont liées :

Comment doit-on faire ? Sélectionner une durée bidon dans GA, et ajouter une surcouche en dev afin de prendre a main sur le cookie GA et le limiter à 13 mois ? Dans un système GTM, ajouter une fonction de gestion de cookies ?

 

2. Dans le cas où ce sont deux données différentes :

Est-ce que le fait de sélectionner par exemple une durée de collecte de données de 14 mois supprimera complètement à partir du 25 toutes les données de Google Analytics supérieures à cette période. 

Par exemple, nous n'aurons plus aucune donnée dans Google Analytics sur l'année 2016 ? 

Dans ce cas, il faudra sélectioner "aucune expiration automatique" mais tout de même limiter via des fonctions annexes la suppression du cookie ? Le fait de conserver les données sans date d'expiration est-il RGPD friendly ?

 

Merci de vos lumières,

Bonne journée, 

Re: Google Analytics et RGPD

Top Contributeur

 

Pour info, la CNIL devient plus ou moins caduque dès le 25 mai puisque le RGPD est un réglement et non une directive, mais je m'égare.

 

Autre point: le RGPD ne prévoit pas de durée minimum ou maximum de stockage de l'information. La durée de 1 an évoquée jusqu'à présent par la CNIL est purement indicative et ne représente pas de contrainte légale, sauf pour les données personnelles, et encore. 

 

La retention générale de données chez Google Analytics est, jusqu'au 25 mai, réglée sur un défaut de 24 mois au-delà desquels Google peut effacer sans prévenir les données plus vieilles qu'un an. Cette durée n'est pas modifiable.

EN REVANCHE: le tout dernier réglage "25 mois" (que permet d'ajuster l'admin GA dans Propriété > Suivi > Rétention) porte uniquement sur le stockage des données personnelles. Ceci concerne tout le traffic associé à un user id particulier ou à un identifiant permettant une jonction entre Analytics, Adwords et Doubleclick par exemple.

Au 25 mai, vous n'allez pas soudainement perdre vos données utilisateurs, ce qui créerait des "trous dans la raquette", vu qu'elles font partie de rapports déjà agrégés. Vous allez juste choisir combien de temps "dureront" les données personnelles d'un visiteur. C'est une version améliorée du réglage de durée de vie du cookie d'identification du visiteur (qui lui aussi était réglé pour expirer au bout de 24 mois)

 

 

Concernant des questions de développement, oui on pourrait/devrait blinder le processus en vérifiant avec GTM la présence d'un cookie de consentement qui déclencherait une collecte complète (y compris infos personnelles) ou une collecte limitée (IP anonymisée, pas d'information de navigateur, pas de fonctions publicitaires, aps de données persos).

Partenaire Certifié Google Analytics (GACP) chez Hub'SalesContactez moi!
Si mes réponses vous ont aidé, soyez gentils de m'attribuer une étoile ;-)

Google Analytics et RGPD

Novice ✭

Bonjour Julien,

 

Merci pour ces réponses.

 

C'est plutôt rassurant sur la rétention des données de ne pas voir nos statistiques disparaitre.

Cela me semblait plutôt gros aussi.

 

Quand vous dites : "Vous allez juste choisir combien de temps "dureront" les données personnelles d'un visiteur. C'est une version améliorée du réglage de durée de vie du cookie d'identification du visiteur (qui lui aussi était réglé pour expirer au bout de 24 mois)"

 

Ce n'est pas justement cette durée de vie de cookie qui doit être de 13 mois maximum ?

J'ai lu que la durée de 13 mois était la durée max légale de conservation d’un cookie et cela à partir de sa création.

 

Si je comprend bien votre réponse, cette donnée est indicative, et rien ne nous oblige à agir sur la durée de vie du cookie GA suite au RGPD ? Nous pouvons ignorer ce point. Et rien ne nous empêche de sélectionner une DATA Rétention à "never expire".

 

 

 

 

Google Analytics et RGPD

Top Contributeur

Bonjour Lea, 

 

voir ma réponse plus bas: RGPD ne prévoit pas de durée de conservation minimum/maximum.

Partenaire Certifié Google Analytics (GACP) chez Hub'SalesContactez moi!
Si mes réponses vous ont aidé, soyez gentils de m'attribuer une étoile ;-)

Google Analytics et RGPD

Top Contributeur

Ce que dit la CNIL (les fameux 13 mois) est une simple recommandation, pas une exigence légale. Et RGPD et ePrivacy (préparez-vous, elle arrive) prendront le dessus sur ce que dit la CNIL.

Dans la pratique et pour montrer que vous êtes de bonne volonté (et de bonne foi):

- baisser dans la config GA la durée de vie du cookie utilisateur à 13 mois

- régler la rétention de données perso à 2 ans

Partenaire Certifié Google Analytics (GACP) chez Hub'SalesContactez moi!
Si mes réponses vous ont aidé, soyez gentils de m'attribuer une étoile ;-)

Google Analytics et RGPD

Novice ✭

Merci Julien,

 

Très clair en ce qui concerne le cookie, je pensais que c'était une obligation. Tant mieux.

 

- baisser dans la config GA la durée de vie du cookie utilisateur à 13 mois

>> C'est possible directement dans GA ?

J'avais cherché et je n'ai trouvé que la possibilité d'agir sur la durée de la session (par défaut à 30min) et la durée de la campagne (par défaut à 6 mois).

Mais rien concernant la duréer de vie du cookie.

 

Très bien, je choisirai 26 mois renouvelable.

Re: Google Analytics et RGPD

Top Contributeur

Pardon, c'est la durée de la *session* qui est configurable dans la propriété.

Pour le cookie utilisateur, cela se fait au niveau du code de suivi.

 

Avec GTM on rajoute un champ au tag GA, comme ci-dessous:

Screen Shot 2018-05-23 at 12.07.57.png

Pour ref: 31536000 = 1 an en secondes

Partenaire Certifié Google Analytics (GACP) chez Hub'SalesContactez moi!
Si mes réponses vous ont aidé, soyez gentils de m'attribuer une étoile ;-)

Google Analytics et RGPD

Novice ✭

Merci beaucoup pour votre support Julien.

 

C'est bien plus clair, du moins au niveau de cette problématique de durée de cookie et de data retention.

J'ai supprimé mon autre post qui demandait en partie des informations sur ces mêmes points.

Pour le reste de cet ancien post, je le copie ci-dessous (cela aidera certainement d'autres personnes qui se posent la question) :

 

Est-ce que, d'après votre expérience et votre point de vue, on pourrait se dire que :


• Si nous anonymisons les 2 dernier octets de l’adresse IP
ga('set', 'anonymizeIp', true); ou via GTM

• Si nous forçons le SSL
ga('set', 'forceSSL', true); ou via GTM

 

• Si aucune url ne contient en paramètre par exemple des données personelles

• Si nous n’activons pas les fonctionnalités remarketing dans Google Analytics


• Si nous acceptons les modifications analytics et que nous sélectionnons une durée de DATA RETENTION

• Si nous remplissons le DPA avec une personne de contact

• Pour ceux qui utilisent GTM, si ils acceptent également les modifications de leur compte

• Si nous proposons à l’internaute la possibilité de ne plus être tracé

 

• Si nous montrons de la bonne volonté en donnant une date d'expiration du cookie de 1 an

 

>> On peut déposer le cookie et enregistrer des stats dans Google Analytics dès l'arrivée de l'internaute sur le site, tout en étant RGPD friendly. Vous parliez de récupération des données navigateur, mais le fait qu'on sache que l'internaute utilisait chrome 58 par exemple n'est pas si personelle que ça. Si on ne dépose rien, c'est un peu la fin des haricots en matière de stats, donc au moins remonter la base.

 

>> Et dernière question et je vous laisse tranquille Smiley heureux, les fonctionnalités de remarketings doivent être désactivées dans GA si on pose le cookie à l'arrivée de l'internaute car pour le coup elle peuvent contenir des données personnelles.

 

Mais dans ce cas, comment l'activer lorsque nous avons le consentement de l'internaute ? Est-ce que le fait de passer par un outil tiers de gestion de cookie comme Onetrust, qui aurait l'option remarketing desactivée par défaut, nous autoriserait à activer par défaut également dans GA le curseur remarketing ? Qui peut être ne remonterait des infos en réalité qu'une fois que l'internaute autoriserait l'enresitrement des données remarketing depuis OneTrust ?