Quand on essaie d’optimiser la navigation sur un site, en faisant notamment la chasse aux clics inutiles, on serait bien content de supprimer le premier clic inutile, qui est généralement celui de la demande d’acceptation pour les cookies, mise en place sur la plupart des sites pour respecter la RGPD.
Heureusement, il est possible à certaines conditions, et cela même si on utilise GA4 !
Comment éviter de demander le consentement pour les cookies sur un site ?
En France, c’est la CNIL qui veille au respect de la RGPD. Pour ce qui est des cookies de mesure d’audience, la CNIL indique qu’il est possible de se passer de demande de consentement, à certaines conditions :
- qu’ils soient uniquement destinés à la mesure d’audience d’un site ou d’une application, pour le compte de son éditeur uniquement,
- que les données soient anonymes,
- ne pas effectuer de recoupements avec des données d’une autre source,
- qu’ils ne soient pas communs à plusieurs sites ou applications,
- informer les utilisateurs de l’utilisation des cookies
- limiter la durée de vie des cookies à ce qui est nécessaire ; l’exemple de 13 mois est donné,
- limiter la conservation des données collectées à 25 mois,
- réévaluer régulièrement la durée de vie et la durée de conservation des données pour s’assurer qu’elles sont limité au strict nécessaire.
Voir le détail sur le site de la CNIL.
Comment faire pour que Google Analytics (GA4) respecte ces conditions ?
Les usages à exclure
Il faut d’abord que vous respectiez certaines conditions dans l’usage que vous faites de Google Analytics (GA4).
Tout d’abord, vous ne devez insérer un ID de suivi GA4 que dans un seul site ou application. Ensuite, vous ne devez pas lier le compte GA4 avec un autre service de Google, par exemple Google Ads, afin de ne pas effectuer de “recoupements de données”.
Rendre les données anonymes
La condition principale pour pouvoir se passer de demande de consentement est l’anonymat des données. Voici les paramétrages à effectuer ou à vérifier avec GA4 pour rendre les données anonymes.
Aller dans Administration > Paramètres de la propriété > Collecte et modifications des données > Flux de données, puis sélectionner le flux, puis aller dans la section “Balise Google” > “Configurer les paramètres de la balise”
- Vérifier que dans “Gérer les paramètres de consentement par défaut pour la collecte de données” il est bien sélectionné “Non. Ne pas marquer automatiquement ces données comme consenties”.
- Désactiver “Autoriser l’utilisation de données fournies par l’utilisateur”.
- Dans la section “Masquer des données” > Sélectionner “Adresses e-mail”.
A noter que Google Analytics 4 ne conserve pas les adresses IP, qui sont considérées comme des données personnelles.
Plus d’infos dans la documentation de Google.
Durées de vie des cookies et de conversion des données
Voici les paramètres à modifier concernant la durée de vie des cookies et celle de conversion des données :
- Toujours dans la gestion du flux de données, aller dans “Remplacer les paramètres des cookies” > cocher “Remplacer les paramètres des cookies par défaut”, et sélectionnez “13 mois” pour expiration des cookies (ou une durée que vous considérez comme strictement nécessaire à l’analyse du trafic).
- Toujours dans “Paramètres de la propriété”, allez dans Collecte des données.
Veiller à ce que “Collecte de données par les signaux Google”, ainsi que “Collecte de données précises sur l’appareil et la zone géographique” soient désactivés.
La durée par défaut de conservation des données par GA4, qui est aussi la durée maximale possible est de 14 mois (section “Conservation des données”). Elle respecte donc la durée maximale de 25 mois imposée par la CNIL.
Information des utilisateurs
Il ne reste qu’à apporter une information aux utilisateurs sur l’utilisation de cookies, par exemple en créant une page sur le sujet et en insérant un lien vers elle en pied de page. Le contenu de cette page pourrait être :
“Ce site utilise des cookies de mesure d’audience (Google Analytics), permettant de disposer de statistiques anonymes de fréquentation.
Conformément aux recommandations de la CNIL, il n’est pas nécessaire de recueillir de consentement pour ce type de cookies, sous certaines conditions que nous respectons. Notamment :
- Toutes les données collectées sont anonymes.
- Les données ne sont pas croisées avec d’autres sources de données.
- La durée de conservation des données est limitée à 14 mois.
- La durée de vie des cookies est limitée à 13 mois.”
Le fait que les données soient transmises aux USA ne pose-t-il pas problème ?
Il est vrai que l’UE avait temporairement considéré les Etats-Unis comme une zone qui n’était pas sûre pour les données personnelles, mais actuellement, elle considère que les Etats Unis “assurent un niveau de protection substantiellement équivalent à celui de l’UE”. Elle autorise donc le transfert des données personnelles aux USA à condition qu’il s’agisse d’un “organisme certifié” s’étant engagé à respecter le cadre légal de l’UE, et Google en fait partie (voir le liste).
Plus d’infos sur le site de la CNIL.
Mais de toute façon, les données transmises ne sont pas des données personnelles, puisqu’on a vu plus haut que les données doivent être anonymes.