L’analyse Web est devenue centrale dans le domaine du marketing digital. De nombreux ad­mi­nis­tra­teurs Web ont adopté des outils tels que Google Analytics, Matomo (an­cien­ne­ment Piwik) ou Kiss­me­trics,  qui per­met­tent de com­prendre comment un uti­li­sa­teur se comporte sur un site Web. ÀA partir de ces données, les pro­fes­sion­nels du marketing tirent des leçons sur le fonc­tion­ne­ment de leur site et observent s’il est suf­fi­sam­ment intuitif et efficace par rapport à leur processus com­mer­cial.

Mais alors que l’uti­li­sa­tion de ces outils d’analyse Web coule de source pour les mar­ke­teurs, les dé­fen­seurs des droits des con­som­ma­teurs tirent la sonnette d’alarme sur leau sujet de la pro­tec­tion des données. Il n’est pas toujours clair pour les clients de savoir quelles données sont ré­cu­pé­rées et dans quel but. Les points litigieux sont con­cer­nent surtout le trai­te­ment des données per­son­nelles avec les­quelles les profils uti­li­sa­teurs sont établis,  et les in­for­ma­tions qui peuvent en être déduites sur chacun des clients. Pourtant, des règles ont été établies et des solutions simples peuvent être mises en place. En fonction de l’outil de suivi que vous utilisez, il sera peut-être né­ces­saire d’utiliser un code de pro­gram­ma­tion pour se conformer à la lé­gis­la­tion.

Free Cloud Server Trial
Serveurs Virtuels Privés de niveau en­tre­prise
  • Serveurs pour les dé­ve­lop­peurs basés sur KVM
  • Évo­lu­ti­vité flexible, jusqu'au Cloud d'en­tre­prise
  • Pay-as-you-go : fac­tu­ra­tion à la minute, selon l'uti­li­sa­tion

Mesure d’audience : le cadre légal pour la pro­tec­tion des données

Comme l’explique notre article sur (la politique de con­fi­den­tia­lité sur Internet (La politique de con­fi­den­tia­lité sur Internet), vous êtes tenu en tant qu’ad­mi­nis­tra­teur de site de répondre aux exigences de la loi « in­for­ma­tique et liberté » pour préserver la sécurité des données de vos uti­li­sa­teurs lorsque vous regroupez des in­for­ma­tions les con­cer­nant. De même, les in­for­ma­tions que vous pouvez re­cueil­lir grâce à des outils d’audience font l’objet de ré­gle­men­ta­tions.

En principe, il n’y a rien à a objecteré à l’étude de l’activité de son site, à partir du moment où cela a été clai­re­ment expliqué aux con­som­ma­teurs qui s’y aven­tu­rent, et que ces derniers ont for­mel­le­ment donné leur accord. Comme l’informe la CNIL (Com­mis­sion nationale de l'in­for­ma­tique et des libertés) :

« laLa loi impose désormais aux res­pon­sables de sites et aux four­nis­seurs de solutions d'in­for­mer les in­ter­nautes et de re­cueil­lir leur con­sen­te­ment avant l'in­ser­tion de cookies ou autres traceurs ».

Le Règlement général sur la pro­tec­tion des données (RGPD) attache une grande im­por­tance à l’in­for­ma­tion des uti­li­sa­teurs. Cela signifie que les ad­mi­nis­tra­teurs de sites Internet doivent indiquer clai­re­ment quelles sont les données qu’ils stockent sur leur serveur et dans quel but. Il faudra donc éviter les po­li­tiques de con­fi­den­tia­li­tés générales ou globales ; si vous souhaitez re­cueil­lir dif­fé­rentes données pour des objectifs dif­fé­rents, il faudra demander le con­sen­te­ment de l’uti­li­sa­teur plusieurs fois (sé­pa­ré­ment pour chaque uti­li­sa­tion). Il n’est pas non plus permis, comme cela est si souvent le cas, de supposer que « qui ne dit mot consent ». Si les uti­li­sa­teurs n’expriment pas leur avis en ce qui concerne l’en­re­gis­tre­ment de leurs données, le RGPD impose de con­si­dé­rer le casce cas précis comme un refus. Il en va de même pour l’uti­li­sa­tion de cookies.

Mesure d’audience : les solutions du RGPD pour protéger les données

D’après le RGPD, les ex­ploi­tants de sites Internet peuvent re­cueil­lir et traiter les données de leurs uti­li­sa­teurs de deux manières :

  • par le biais d’une analyse Web ex­pli­ci­te­ment approuvée par le visiteur ;
  • par le biais d’une analyse anonyme sur le Web.

Les ad­mi­nis­tra­teurs de sites Web qui ob­tien­nent le con­sen­te­ment préalable de leurs visiteurs de créer des profils basés sur leurs données per­son­nelles sont donc conformes à la loi sur la pro­tec­tion des données. À bien noter toutefois, cette demande de con­sen­te­ment doit ap­pa­raître dès que le visiteur accède au site. Il n’est pas possible de sim­ple­ment fondre la dé­cla­ra­tion de con­sen­te­ment dans les con­di­tions générales. Au lieu de cela, une fenêtre pop-up s’ouvre la première fois que vous consultez un site Web. Par ailleurs, si l’accord est donné, il ap­par­tient à l’ex­ploi­tant du site Web de rendre lesses données toujours ac­ces­sibles à l’uti­li­sa­teur qui peut en faire la demande.

En outre, les uti­li­sa­teurs doivent pouvoir revenir sur leur con­sen­te­ment à tout moment. Ce retour doit être aussi simple à effectuer que le con­sen­te­ment lui-même. Dès que l’uti­li­sa­teur change d’avis et l’exprime, l’ex­ploi­tant de site Web doit cesser le trai­te­ment de ses données. Toutefois, les données qui ont déjà été col­lec­tées et traitées ne doivent pas né­ces­sai­re­ment être effacées. Ce n’est le cas que si l’uti­li­sa­teur demande ex­pli­ci­te­ment la sup­pres­sion.

Note

le RGPD exige de répéter la demander de con­sen­te­ment des uti­li­sa­teurs tous les six mois. Par con­sé­quent, le con­sen­te­ment de l’uti­li­sa­teur doit être daté. Autrement, votre système d’analyse Web risque de ne pas être conforme à la rè­gle­men­ta­tion.

Le RGPD donne également aux uti­li­sa­teurs un droit à l’in­for­ma­tion : ces derniers ont le droit de savoir quelles données ont été stockées jusqu’à présent. Pour les ad­mi­nis­tra­teurs de site, il est donc important de pouvoir à tout moment com­mu­ni­quer toutes les in­for­ma­tions re­cueil­lies. Le règlement accorde 30 jours pour traiter une demande. Les en­tre­prises de Web analytics ne sont par ailleurs pas au­to­ri­sées à analyser des données elles-mêmes, car les uti­li­sa­teurs n’ont gé­né­ra­le­ment pas donné leur con­sen­te­ment. Le con­sen­te­ment n’est nor­ma­le­ment accordé qu’à l’ad­mi­nis­tra­teur du site.

Être conforme au règlement nécessite donc de gros efforts pour les en­tre­prises qui doivent obtenir le con­sen­te­ment de leurs visiteurs. Il existe un risque que le taux de rebond augmente lé­gè­re­ment du fait de cet obstacle. Dans la pratique, beaucoup d’en­tre­prises optent pour une solution dif­fé­rente. Une al­ter­na­tive est en effet l’analyse Web anonyme. Les in­for­ma­tions qui sont re­cueil­lies dans le cadre d’une visite sur le site sont en­re­gis­trées sé­pa­ré­ment des données di­rec­te­ment liées à l’uti­li­sa­teur (comme par exemple l’adresse IP, le nom ou le compte de l’uti­li­sa­teur). Le re­cou­pe­ment ultérieur des données en­re­gis­trées sé­pa­ré­ment n’est pas non plus autorisé sans un accord clair de l’uti­li­sa­teur.

Note

dans le cas où vous ne seriez pas sûr si les in­for­ma­tions que vous en­re­gis­trez relèvent de données anonymes ou per­son­nelles, avancez avec prudence. Le lé­gis­la­teur parle de données anonymes seulement lorsqu’il n’est pas possible de les attribuer à une personne, même après coup.

Pour se conformer à la ré­gle­men­ta­tion RGPD, vous pouvez également décider de masquer les IP. Ainsi, les derniers chiffres de l’adresse IP ne sont pas visibles. ÉEtant donné que les outils d’analyse clas­siques ré­cu­pè­rent et traitent au­to­ma­ti­que­ment les adresses IP des uti­li­sa­teurs, par exemple avec la géo­lo­ca­li­sa­tion, il est gé­né­ra­le­ment né­ces­saire de procéder à des con­fi­gu­ra­tions. Vous trouverez dans cet article des ins­truc­tions dé­tail­lées pour les outils de tracking Google Analytics, Matomo et etracker.

Mais avant -tout, vous trouverez ci-dessous quelques points auxquels il est important de faire tout par­ti­cu­liè­re­ment attention.

Opt-in

La demande de con­sen­te­ment pour le trai­te­ment des données per­son­nelles doit s’effectuer par le biais de l’u opt-in. Il n’est pas possible de s’appuyer sur un con­sen­te­ment tacite ou sur une procédure opt-out. Tant que l’uti­li­sa­teur n’a pas accepté ex­pli­ci­te­ment l’en­re­gis­tre­ment de ses données, il n’est pas est im­pos­sible d’en­re­gis­trer les données per­son­nelles. Cela signifie également que des in­for­ma­tions telles que celles autour de la première visite de l’in­ter­naute sur votre site ne peuvent pas être stockées : un en­re­gis­tre­ment est seulement possible après accord.

Remarque

étant donné que le RGPD n’est entré en vigueur que récemment et que tous les détails du texte de la loi n’ont pas encore été clai­re­ment formulés, certaines am­bi­guï­tés sub­sis­tent. Par exemple, il n’est ac­tuel­le­ment pas très clair de savoir si la procédure d’opt-in est également né­ces­saire uni­que­ment pour une analyse Web. Les premières pro­cé­dures ju­di­ciaires sur le sujet cla­ri­fie­ront pro­ba­ble­ment le RGPD en détail.

L’obli­ga­tion d’in­for­ma­tion

À partir du moment où des tech­niques de suivi sont utilisées sur le site Web, les ad­mi­nis­tra­teurs de site sont tenus d’informer les uti­li­sa­teurs que leur com­por­te­ment est évalué et mesuré sous forme de profil d’uti­li­sa­teurs. Ils doivent également indiquer aux uti­li­sa­teurs dans quelle mesure cela est fait et dans quel but. La dé­cla­ra­tion de pro­tec­tion des données doit par ailleurs être ac­ces­sible aux visiteurs à tout moment et depuis toute page se­con­daire. Il est donc re­com­mandé de les intégrer dans la na­vi­ga­tion ou dans la zone de pied de page du site Web.

Le droit de s’opposer

Un autre point important pour une analyse Web conforme à la pro­tec­tion des données est la pos­si­bi­lité de s’op­po­si­tion. Les uti­li­sa­teurs doivent pouvoir revenir sur leur con­sen­te­ment donné à tout moment. La procédure doit être aussi simple que celle pour donner son accord de collecter des in­for­ma­tions per­son­nelles. Dès réception de l’op­po­si­tion, l’en­re­gis­tre­ment des données prend fin pour l’uti­li­sa­teur concerné.

Contrat avec les sous-traitants pour le trai­te­ment des données

Si les ad­mi­nis­tra­teurs de sites utilisent des outils de suivi Web qui stockent les données per­son­nelles des uti­li­sa­teurs sur des serveurs externes, le RGPD prévoit un contrat de trai­te­ment élec­tro­nique des données. La coo­pé­ra­tion avec le sous-traitant est donc bien encadrée. Le contrat fait référence à la collecte, au trai­te­ment et à l’uti­li­sa­tion de données à caractère personnel par un pres­ta­taire de services externe. Sont stipulés alors dans un tel accord les droits et obli­ga­tions des deux parties con­trac­tantes.

Uti­li­sa­tion des cookies et mesure d’audience : quels risques ?

Pour analyser votre trafic et mieux saisir le parcours des in­ter­nautes sur votre site, des cookies (ou traceurs) sont installés par les outils de mesure d’audience. L’uti­li­sa­tion de ces cookies sont encadrés par la loi. Attention toutefois à ne pas mélanger tous les types de traceurs. Certains outils jugés tech­ni­que­ment né­ces­saires pour le service, comme pour les paniers d’achat ou la con­fi­gu­ra­tion de langues ne né­ces­si­tent pas de mesures spé­ci­fiques.

La directive 2009/136/CE de l’Union Eu­ro­péenne codifie les règles relatives à l’uti­li­sa­tion des traceurs et les obli­ga­tions d’aver­tis­se­ment de leur uti­li­sa­tion. Depuis 2014, la CNIL a commencé ac­ti­ve­ment à contrôlé les sites internet, les exposant à une éven­tuelle amende de 150 000 euros en cas de non-respect de la loi. Ainsi, la com­mis­sion vérifie que l’accord des in­ter­nautes est sollicité pour l’uti­li­sa­tion des cookies (tout du moins ceux visant à tracer leur com­por­te­ment). De plus, la requête formulée au visiteur doit être répétée au moins tous les 13 mois.

Vous avez ainsi sûrement remarqué des barres d’in­for­ma­tions sur la plupart des sites marchands (voire quasiment la totalité) visant à obtenir votre accord pour l’uti­li­sa­tion de cookies. On voit ty­pi­que­ment ap­pa­raître des bandeaux tels que : « En pour­sui­vant votre na­vi­ga­tion sur notre site, vous acceptez l'uti­li­sa­tion de cookies pour vous proposer des contenus per­son­na­li­sés en fonction de vos centres d'intérêt et mesurer la fré­quen­ta­tion de nos services». Ce message doit pouvoir s’ensuivre d’un lien pour en savoir plus et ajuster ses pa­ra­mètres.

Pro­tec­tion des données pour l’analyse Web avec Google Analytics, Matomo et etracker

En voyant venir l’in­tro­duc­tion du RGPD, les dé­ve­lop­peurs des outils de tracking se sont efforcés d’of­frie­rof­frir e donner des pos­si­bi­li­tés depour rendre leur outil conforme. En principe toutefois, il incombe à l’ex­ploi­tant du site Internet de veiller à ce que les con­di­tions du cadre juridique pour l’analyse Web soient res­pec­tées.

Voici les exemples de Google Analytics, Matomo et etracker qui montrent comment l’on peut s’en sortir avec les con­fi­gu­ra­tions.

Google Analytics

Même le spé­cia­liste de la collecte de données Google a adapté son service d’analyse Web aux nouvelles ré­gle­men­ta­tions de l’UE. Toutefois, il est né­ces­saire de procéder vous-même aux ajus­te­ments suivants pour vous assurer que votre analyse Web est conforme aux exigences de pro­tec­tion des données :

  1. Contrat pour le trai­te­ment des données : Google a la position d’un con­trac­tant en tant que four­nis­seur de Google Analytics. Les ad­mi­nis­tra­teurs de sites sont donc tenus d’établir un contrat avec le sous-traitant avant d’utiliser l’outil. C’est possible de le faire en ligne.
     
  2. Con­ser­va­tion des données : dans les pa­ra­mètres, Google vous permet de faire effacer au­to­ma­ti­que­ment les données stockées au bout d’un certain temps. Sé­lec­tion­nez la période la plus courte.
     
  3. Ano­ny­mi­sa­tion des adresses IP : l’ano­ny­mi­sa­tion des adresses IP des uti­li­sa­teurs peut être réalisée avec Google Analytics grâce à l’extension de code « ano­ny­mi­zeIp ». Cette dernière doit être insérée par vos soins dans le code de pro­gram­ma­tion de l’outil. Vous trouverez davantage d’in­for­ma­tions dans le support as­sis­tance de Google sur l’ano­ny­mi­sa­tion. L’outil de tracking peut être utilisé selon deux variantes (Analytics ou Universal Analytics) et le code de pro­gram­ma­tion va en dépendre. Si vous procédez à des analyses clas­siques (« Analytics »), l’extension sera insérée par la fonction _ano­ny­mi­zelp de la bi­blio­thèque Ja­vaS­cript ga.js :
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])

Avec Universal Analytics, en revanche, il faut utiliser la fonction ga('set', 'ano­ny­mi­zeIp', true de la bi­blio­thèque Ja­vaS­cript analytics.js :

ga('create', 'UA-XXXXXXX-X', 'exemple.fr');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
  1. Politique de con­fi­den­tia­lité et droit d’op­po­si­tion : con­for­mé­ment aux con­di­tions d’uti­li­sa­tion de Google Analytics, les ad­mi­nis­tra­teurs de sites Internet sont tenus d’indiquer qu’ils utilisent l’outil dans leur politique de con­fi­den­tia­lité. La dé­cla­ra­tion doit notamment informer les visiteurs de la pos­si­bi­lité de s’opposer à l’en­re­gis­tre­ment des données. Pour une plus grande précision, vous pouvez insérer un lien vers le module de na­vi­ga­teur fourni par Google pour la dé­sac­ti­va­tion de Google Analytics.
     
  2. Supprimer les anciennes données : les données qui ont été col­lec­tées de manière non conformes au RGPD doivent être toutes sup­pri­mées sans exception. Dans ce cas, nous vous re­com­man­dons de créer di­rec­te­ment un nouveau compte Google Analytics pour le site Web concerné.

Matomo (Piwik)

Comme pour le leader du marché, les pa­ra­mètres pour la pro­tec­tion des données chez Matomo, plus connu sous son ancien nom Piwik, doivent également être ajustés pour vous rendre conformes à la lé­gis­la­tion eu­ro­péenne, Con­trai­re­ment à Google Analytics, les données ne sont pas stockées sur un serveur externe avec l’outil open-source Matomo. Un contrat pour le trai­te­ment des données n’est donc pas né­ces­saire, tout du moins pas avec Matomo. Cependant, comme vous stockez pro­ba­ble­ment vos données per­son­nelles sur un serveur loué, vos CGU doivent être clai­re­ment établies avec votre hébergeur.

  1. Ano­ny­mi­sa­tion des adresses IP : par défaut, Matomo doit en principe déjà procéder à l’ano­ny­mi­sa­tion des adresses IP. Pour vous assurer que le réglage est tout de même bien établi, vérifiez les pa­ra­mètres. Ces derniers vous per­met­tent notamment de spécifier combien d’octets (entre 1 et 3) doivent être ano­ny­mi­sés.
     
  2. Con­ser­va­tion des données : Matomo vous permet d’effacer ré­gu­liè­re­ment les données col­lec­tées, par exemple après 6 mois. En utilisant les options du menu, vous pouvez également supprimer toutes les anciennes données si elles n’ont pas été en­re­gis­trées con­for­mé­ment au RGPD. Vous trouverez plus d’in­for­ma­tions dans les FAQ de Matomo.
     
  3. Dé­cla­ra­tion de pro­tec­tion des données et droit d’op­po­si­tion : la pos­si­bi­lité de revenir sur son con­sen­te­ment qui est obli­ga­toire dans votre dé­cla­ra­tion sur la pro­tec­tion des données peut être mise en œuvre sur Matomo par un iframe opt-out. Vous trouverez tous les détails sur le site de l’outil.
<iframe frameborder="no" width="600" height="200" src="http://exemple.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>

De plus, Matomo respecte l’exigence « dDo not track », fonc­tion­na­lité qu’il ne faut toutefois pas dé­sac­ti­ver.

etracker

Tous les réglages de pro­tec­tion des données peuvent être effectués avec etracker sans toucher au code de pro­gram­ma­tion. Le respect du RGPD de l’outil est en effet l’atout de vente de cette en­tre­prise venue tout droit d’Allemagne.

  1. Contrat pour le trai­te­ment des données : les ad­mi­nis­tra­teurs de sites Web qui font confiance à etracker ont la pos­si­bi­lité d’utiliser un contrat préétabli pour fixer les con­di­tions des deux parties. En quelques clics, le contrat est validé.
     
  2. Ano­ny­mi­sa­tion des adresses IP : etracker active par défaut l’anonymat des adresses IP. Il n’est pas né­ces­saire d’ajouter du code.
     
  3. Dé­cla­ra­tion de pro­tec­tion des données et droit d’op­po­si­tion : etracker permet aux ex­ploi­tants de sites Web de se conformer fa­ci­le­ment aux normes en vigueur en matière de pro­tec­tion des données, en mettant à dis­po­si­tion un exemple de texte adapté à la situation juridique eu­ro­péenne. Ce texte comprend notamment un lien pour revenir sur son choix. Les pa­ra­mètres per­met­tent également de mettre en place une solution opt-in.
     
  4. Supprimer les anciennes données : si des données per­son­nelles d’uti­li­sa­teurs ont été en­re­gis­trées selon une con­fi­gu­ra­tion non conforme avant l’ap­pli­ca­tion du RGPD, vous devez les supprimer d’etracker sans exception.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.

Aller au menu principal