La quantité d’actualités concernant le Règlement Général Européen sur la Protection des Données (RGPD) a diminuée depuis sa mise en application le 25 mai 2018, mais cela ne permet pas pour autant de spéculer quant au niveau de conformité des entreprises. En effet, de nombreuses organisations peinent encore à comprendre le RGPD et souhaitent obtenir des conseils dans le domaine. Les webmasters (administrateurs de site) font partis de ceux qui ont le plus besoin d’aide puisqu’ils traitent un grand nombre de données personnelles et dépendent souvent de tierces parties, comme Google Analytics. Ce blog a pour but de clarifier les choses en vous expliquant comment assurer votre conformité avec le RGPD tout en continuant à utiliser Google Analytics.
Rétention de données
Le RGPD indique que les données personnelles ne peuvent être conservées que pour la durée nécessaire au traitement, ce qui signifie que les organisations doivent connaitre les raisons pour lesquelles les données sont collectées et combien de temps le traitement prendra. Ceci doit être décidé avant que le traitement des données ne débute puisque ces informations doivent être précisées dans la politique de confidentialité.
Afin d’aider les organisations à répondre à ces exigences, Google Analytics a mis à jour ses paramètres de rétention de données. Dans le menu « tracking and info », les utilisateurs peuvent sélectionner s’ils souhaitent conserver les données du compte pour une durée de 14, 26, 38 ou 50 mois – après quelle durée, les données seront automatiquement supprimées. Il existe également une option « do not automatically expire » permettant de ne pas effacer les données de manière automatique.
Bien que la suppression automatique soit souvent une bonne idée, cela n’est nécessaire que pour certaines activités de traitement dans le cadre du RGPD. La plupart des informations fournies par Google Analytics utilisent des données agrégées, ce qui ne relève pas du RGPD.
Pseudonymisation et anonymisation
Les webmasters doivent pseudonymiser ou anonymiser autant de données que possible afin de faire en sorte que leurs données ne relèvent pas ou qu’en partie du RGPD.
L’anonymisation supprime toutes les données personnelles de l’ensemble de données alors que la pseudonymisation n’en remplace qu’une partie. L’anonymisation n’est utile que dans peu de cas, ce qui explique que la pseudonymisation soit bien plus populaire – bien qu’elle représente certains risques.
Contrairement aux données anonymisées, elles sont toujours considérées comme étant des données personnelles et sont donc sujette au RGPD, mais la pseudonymisation des données permet aux organisations de limiter les dommages causés et répercussions en cas de violation de données.
Consentement
La question la plus fréquemment posée concernant le traitement des données personnelles selon le RGPD est : « ai-je besoin du consentement ? ». La réponse est toujours la même : le consentement est l’une des six raisons légitime permettant le traitement des données personnelles et est généralement l’option la moins fiable. Le consentement ne devrait être utilisé que si aucune autre raison légitime n’est valide.
Cependant, la collecte des données à des fins publicitaires requière presque toujours le consentement. Google Analytics comprend plusieurs fonctionnalités publicitaires, y compris les rapports démographiques et d’intérêts, le remarketing et l’intégration DoubleClick. Si vous utilisez certaines de ces fonctionnalités, vous aurez besoin du consentement explicite des personnes concernées.
Guide de conformité avec le RGPD
Apprenez-en plus sur les raisons légitimes au traitement RGPD ainsi que sur les autres exigences du RGPD en lisant notre Guide de conformité.
Ce Livre Vert gratuit vous fournit un aperçu des changements clés introduits par le RGPD, le champ d’application ainsi que l’impact du règlement et les domaines requérant une attention particulière de la part de votre entreprise.
