Les demandes de consentement pour les cookies polluent la navigation sur la majorité des sites depuis la mise en place de la RGPD. Pouvoir s’en passer est un avantage concurrentiel par rapport aux autres sites, car cela améliore fortement l’expérience utilisateur.
Il était déjà possible de se passer de consentement pour les cookies de mesure d’audience (ex. : Google Analytics), comme je l’indiquais dans mon précédent article En finir avec l’acceptation des cookies RGPD. Mais la CNIL a rendu le mois dernier un nouvel avis simplifiant nettement les mesures à prendre pour se passer de consentement.
Les cookies de mesure d’audience dispensés par défaut
La CNIL annonce maintenant clairement que les cookies Analytics sont dispensés de demande de consentement (voir sur leur site). Néanmoins, outre l’information nécessaire à ce sujet dans la politique de confidentialité, il y a quelques restrictions, dont je ne vais citer que celles qui nécessitent un paramétrage particulier sur Google Analytics :
- «ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web» : cela implique de désactiver la constitution d’audiences ;
- «ne pas conduire à un recoupement des données avec d’autres traitements» : cela implique de ne pas connecter Google Analytics à Google Ads ;
- «la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois» : par défaut, les cookies Google Analytics ont une durée de vie de 2 ans. Est-ce trop ? 13 mois n’étant pas trop, il risque d’être difficile de justifier que 24 l’est. On peut considérer que s’il y a des abus en la matière ou que si ce point entraîne des conflits ou des rappels à l’ordre, la CNIL apportera alors des précisions, mais il est certain que cela n’entraînera pas de sanctions sans au moins un rappel à la loi ;
- «les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois».
Ce qu’il faut faire pour utiliser Google Analytics sans demander de consentement pour les cookies
- Informer sur les cookies et leur utilisation dans la politique de confidentialité, mais à priori, vous le faites déjà.
- Désactiver la « Collecte des données dans le cadre des fonctionnalités de publicité » :
Aller dans Administration > Informations de suivi > Collecte des données et désactiver « Remarketing » et «Fonctionnalités de création de rapports sur la publicité». - Réduire la durée de conservation des données sur les utilisateurs et les événements :
Aller dans Administration > Informations de suivi > Conservation des données et choisir une durée inférieure à 25 mois. - Supprimer le lien avec Google Ads :
Aller dans Administration > Association à Google Ads, sélectionner le compte s’il y en a un, puis cliquer sur «Supprimer le groupe d’associations» (à faire éventuellement plusieurs fois s’il y a plusieurs comptes).
Bien entendu, si vous utilisez Google Ads, vous risquez de devoir conserver ce lien et donc la demande de consentement pour vos cookies Analytics. A moins que vous n’utilisiez pas d’objectifs de conversion Google Analytics mais uniquement des objectifs de conversion Google Ads ; auquel ca ce lien n’est pas vraiment indispensable si on n’utilise pas d’audiences remarketing.
Si vous êtes perfectionniste, vous voudrez peut-être réduire la durée de vie des cookies (les traceurs dont parle la CNIL, voir plus haut). C’est possible grâce au paramètre cookieExpires (voir doc) ou au paramètre cookie_expires (pour GTAG, voir doc). Il faut donc appliquer une petite modification au code Analytics exécuté dans les pages.
Pour réduire à 13 mois la durée de vie des cookies avec le code Analytics par défaut (GTAG), la ligne :gtag('config', 'UA-XXXXXX-X');
devient :gtag('config', 'UA-XXXXXX-X', {'cookie_expires': 33696000});
Bien entendu, si vous aviez fait des paramétrages particuliers dans Analytics, il est possible qu’ils entrent en conflit avec les restrictions ; je n’ai abordé ici que les modifications nécessaires par rapport au paramétrage Analytics par défaut.