RGPD et outils de tracking – quel impact pour google analytics et les autres tags emarketing ?

Le RGPD est entré en vigueur le 25 mai dernier et oblige les éditeurs de sites web à informer et à gérer le consentement des visiteurs pour tous les traitements concernant leurs données personnelles :
google analytics ainsi que la grande majorité des tags ou pixels présents sur les sites pour analyser et mesurer les performances des campagnes emarketing sont donc concernés par cette nouvelle réglementation.
Mettre en conformité RGPD son site c’est aussi, voire un préalable, pour assurer sa performance et donc maximiser ses conversions.

Pourquoi google analytics doit-il être configuré différemment ?

Google analytics analyse chacune des visites sur un site internet et la grande majorité des informations qu’il recueille ne sont pas nominatives (nombre de visiteurs, pages consultées, durée de visite…)
cependant, pour permettre la localisation géographique des visiteurs, google analytics utilise l’adresse IP renvoyée par le navigateur de l’internaute.
Celle-ci est généralement fournie par le Fournisseur d’accès à internet (FAI) en fonction du réseau utilisé par l’internaute (4G de l’opérateur, wifi de la box internet…) et ce dernier détient les coordonnées de l’abonné. C’est parce qu’il est donc possible d’associer une adresse physique (postale ou coordonnées GPS) à une adresse IP que cette dernière est considérée comme donnée à caractère personnel (DCP).

Remarque : si vous utilisez les fonctionnalités avancées de google analytics que sont les dimensions personnalisées pour, par exemple transmettre à analytics des identifiants de connexion (sur votre intranet ou compte client notamment), vous devez également veiller à ce que ces données personnelles ne soient pas transmises à google analytics sans l’information et le recueil du consentement de l’internaute.
Voir notamment les explications sur le user-id de google analytics

Comment mettre en conformité l’utilisation de google analytics ?

De base google analytics stocke l’adresse IP du visiteur pour établir ses rapports géographiques mais il est possible de masquer une partie de cette adresse et ainsi anonymiser cette donnée.

La configuration est possible en ajoutant un paramètre supplémentaire lors de l’appel du script analytics présent sur toutes les pages de votre site.
Conversion Boosters dispose d’experts certifiés Google Analytics qui peuvent vous aider dans cette mise en place.

ensuite c’est une question de stratégie, si vous n’avez pas besoin de savoir précisément où sont localisés vos visiteurs, vous pouvez anonymiser
l’adresse IP et ainsi « sortir » du champ d’application du RGPD, ou alors bien veiller – avant de déclencher le traitement et donc le script analytics qui va analyser l’audience – informer les visiteurs de ce traitement, sa finalité, la durée de conservation, recueillir et enregistrer leur consentement.

Le RGPD vous oblige aussi à permettre aux visiteurs de retrouver et modifier facilement sur votre site ce consentement.

Attention également aux données personnellement identifiables (PII) envoyées à google analytics :
Certaines données personnelles peuvent être transmises par mégarde à google analytics et donc nécessiter une vigilance particulière.
C’est notamment le cas des paramètres de l’url d’une page affichée juste après la soumission d’un formulaire et qui peut contenir les coordonnées du visiteur saisies à l’étape précédente.
Voir cet article complet de Franck Scandolera

Et pour les tags tiers associés aux campagnes emarketing ?

Sur une grande majorité de sites on retrouve de très nombreux tags tiers (on parle aussi de pixels ou traceurs de suivi, de balises ou de scripts) associés à des appels vers des sites distants dont les noms de domaines sont distincts du site visité. les tags les plus connus sont ceux des régies publicitaires qui génèrent la majeure partie du trafic : google adwords ou facebook par exemple.

Les sites des principaux médias (portails vidéos, journaux ou magasines en ligne, chaînes tv, radios webzines…) ainsi que les sites marchands sont traditionnellement ceux qui utilisent le plus de tags tiers car leur rentabilité dépend – pour les premiers des espaces publicitaires qu’ils monétisent auprès des régies publicitaires – et pour les seconds du volume de trafic entrant et donc du chiffre d’affaire ainsi généré.

Le site tf1.fr par exemple exploite une quarantaine de tags (scripts de mesure d’interaction, de publicité ou de réseaux sociaux)

traceurs-tags-rgpd-analytics-tf1.fr

 

Les tags tiers servent à analyser l’audience du site visité et mesurer l’efficacité des campagnes emarketing qui ont permis aux visiteurs d’arriver sur le site.
Ceci afin de rentabiliser le coût d’acquisition selon le canal employé (emailing, réseaux sociaux, référencement naturel ou payant..).

Pour mémoriser l’historique des visiteurs d’une session aux suivantes sur le même site, les tags peuvent déposer des cookies sur le poste de l’internaute.

Le rgpd interdit-il les tags tiers emarketing ?

Non, de la même façon que le RGPD n’interdit pas la publicité ou les emailings, il impose simplement aux éditeurs des sites web de nouvelles contraintes dont la principale est d’informer le visiteur avant tout traitement activant un tag tiers ou la dépose des cookies.

Ils doivent obligatoirement :
informer les visiteurs avant tout traitement (liste complète ou catégorielle des tags et cookies avec le destinataire , la finalité et la durée de conservation du traitement)
recueillir et stocker le consentement mais aussi permettre à l’internaute de changer d’avis
effacer les données personnelles stockées via les tags et cookies au bout du délai légal maximum de 13 mois

Pour en savoir plus sur les traceurs et cookies par la CNIL :

Comment déclencher les tags et traceurs seulement après le consentement ?

Il existe de nombreuses solutions techniques pour gérer la mise en conformité au RGPD des sites web et en particulier des traceurs et tags emarketing.
Il est notamment possible
– d’intervenir dans le code source des pages du site pour détecter les tags présents (analytics, tags tiers et cookies),
– ensuite d’afficher un bandeau ou fenêtre d’information (popin)
– recueillir le consentement des visiteurs
– pour enfin conditionner et décaler l’activation des traceurs seulement une fois le consentement obtenu

Cette manipulation peut s’avérer très complexe selon la nature du socle technique du site internet (CMS type wordpress, drupal, magento, prestashop… ou pire lors d’un développement sur mesure).

D’autres solutions exploitant des outils gratuits ou payants (selon le niveau d’automatisation ou la structure du site) sont également possibles afin d’accélérer et industrialiser cette mise en conformité notamment pour garantir la maintenance du site en fonction de l’évolution des tags ou cookies du site.

Les sites web utilisant déjà un gestionnaire de tags et traceurs (Tag Management System : Google Tag Manager, Adobe Tag Manager, Tag Commander, Ensighten, Tealium…) partent ici avec un réel avantage car l’identification et la maintenance de tous les tags, pixels et scripts correspondants est déjà externalisée (plus besoin d’intervenir directement dans le code source des pages du site).

Conversion Boosters possède dans son réseau des consultants experts et certifiés en Tag Management qui pourront auditer votre site et vous fournir une solution personnalisée

NOUVEAU !
Conversion Boosters et le cabinet d’avocats Schreckenberg Parniere lancent une
offre packagée de Mise en Conformité RGPD :

En savoir plus

expert accompagnement analytics et dataviz

Vous souhaitez un devis pour une prestation Analytics ou DataViz

Voir les derniers articles du blog du CRO :