RGPD dans Google Analytics 4

Google Analytics 4 (GA4) met l’accent sur une politique de confidentialité améliorée, notamment :

  • en ne conservant pas les adresses IP pour éviter d’identifier les individus dans les rapports,
  • et en supprimant les données sensibles collectées auprès des utilisateurs de l’Union Européenne (EU) avant de les enregistrer via les domaines et serveurs de l’UE, afin de préserver la confidentialité de ces utilisateurs.

De plus, GA4 propose une option permettant de désactiver la collecte de données de signaux Google (ou Google Signals) par région et stocke les dimensions de région et de dispositif.

rgpd Google Analytics
rgpd Google Analytics
Table des matières
  1. Est-ce que Google Analytics 4 est conforme au RGPD ?
  2. Qu'offre la protection des données de l'UE?

Est-ce que Google Analytics 4 est conforme au RGPD ?

Cependant, GA4 n’est pas entièrement conforme au RGPD pour les citoyens et résidents de l’UE, malgré la mise en place de fonctionnalités axées sur la confidentialité telles que :

  • l’anonymisation des adresses IP par défaut ;
  • des durées de stockage de données plus courtes ;
  • la localisation des serveurs ;
  • un mode de consentement ;
  • et la possibilité pour les utilisateurs de supprimer leurs données personnelles.

À l’intérieur même de l’UE, chaque pays dispose de règles différentes en matière de confidentialité.

Je vous résume ici la situation de Google Analytics au regard de la réglementation RGPD :

  • GA4 ne conserve pas les adresses IP des utilisateurs ;
  • vous pouvez choisir de conserver les données pendant 2 ou 14 mois.
  • par contre, GA4 ne permet pas aux visiteurs de choisir où leurs données seront stockées, ce qui signifie que vous devrez prendre des mesures supplémentaires pour répondre aux exigences du RGPD en matière de transfert de données si votre site est basé dans l’UE ou a des visiteurs de l’UE.

Donc, si vous souhaitez accorder à Google un accès limité à vos données, vous devez signer un accord de traitement des données avec Google. De plus, votre site Internet a besoin d’une politique de confidentialité qui explique comment fonctionnent les transferts de données au niveau international.

Le 10 juillet 2023, le communiqué de presse sur la circularisation sécurisée et fiable des données entre l’UE et les États-Unis pourrait contribuer à résoudre les problèmes juridiques qui surviennent lorsque Google Analytics transfère des données.

Qu’offre la protection des données de l’UE?

GA4 propose un système de protection de la vie privée à plusieurs niveaux pour les utilisateurs de l’UE en ne conservant pas les adresses IP des visiteurs. GA4 effectue une recherche de géolocalisation sur une adresse IP pour mesurer :

  • la ville (ainsi que la latitude et la longitude de la ville) ;
  • le continent ;
  • le pays ;
  • la région ;
  • le sous-continent (et leurs équivalents basés sur l’ID).

Toutes ces données sont collectées et traitées dans l’UE, en effectuant une géolocalisation de niveau supérieur sur les serveurs basés dans l’UE avant d’envoyer les données aux serveurs de Google Analytics.

De plus, lorsque vous activez Google Signals, vous pouvez activer ou désactiver la collecte de ces signaux sur une base régionale.

Si vous choisissez de ne pas le faire, vous pouvez manquer des données granulaires sur l’emplacement et à l’appareil telles que:

  • évolution mineure du navigateur ;
  • chaîne de l’agent utilisateur du navigateur Web ;
  • la marque de l’appareil ;
  • le modèle d’appareil ;
  • le nom de l’appareil ;
  • évolution mineure du système d’exploitation ;
  • évolution mineure de la plate-forme ;
  • la résolution d’écran.