Google Analytics et consentement aux cookies

Image of Iron Brands

Publié le 12 févr. 2024 et modifié le 16 avr. 2024 par Iron Brands

La gestion du consentement dans Google Analytics est complexe. Les règles relatives au consentement en matière de cookies varient d'un pays à l'autre. Et même lorsque vous savez quelles règles s'appliquent, il peut être difficile de configurer Google Analytics de manière conforme.

  1. Ai-je besoin d'un consentement pour les cookies ?
  2. Dois-je également obtenir le consentement pour Google Analytics 4 ?
  3. Comment recueillir le consentement ?
  4. Comment recueillir le consentement dans Google Analytics ?
  5. Comment puis-je configurer un bouton "Ne pas vendre" dans Google Analytics ?
  6. Comment puis-je honorer les demandes d'exclusion du suivi dans Google Analytics ?
  7. Tout cela semble inutilement compliqué
  8. Comment configurer correctement une CMP ?
  9. Comment puis-je concevoir une bannière de cookies avec un bon taux de participation ?
  10. Réflexions finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Voici comment démarrer avec Google Analytics et le consentement aux cookies !

Ai-je besoin d'un consentement pour les cookies ?

Le consentement en matière de cookies est un véritable champ de mines. Dans l'UE, la situation est assez claire : la directive "vie privée et communications électroniques" et le règlement GDPR exigent un consentement explicite pour les cookies.

Il en va de même pour l'Espace économique européen, car le GDPR s'applique également aux membres de l'EEE (c'est-à-dire tous les pays de l'UE plus l'Islande, le Liechtenstein et la Norvège). C'est également le cas pour des pays comme le Royaume-Uni et le Brésil, dont les lois sur la protection de la vie privée sont étroitement alignées sur le GDPR.

D'autres pays ont des règles plus souples : par exemple, la législation américaine n'exige pas le consentement préalable, ni même le consentement négatif, bien que les lois des États aient parfois des règles plus restrictives. Par exemple, la CCPA impose une option de refus, mais uniquement pour certains sites web.

La situation est encore plus confuse, car la loi exige parfois le consentement dans certaines situations, mais pas dans d'autres. Par exemple, la loi américaine COPPA limite ce que vous pouvez faire avec les cookies lorsque vous surveillez des enfants.

En résumé, il s'agit d'une question complexe et la réponse dépend à la fois de la législation et du scénario en question. Mais pour l'UE, la réponse est claire : Google Analytics nécessite un consentement dans l'UE. Nous avons également créé une carte interactive qui fournit des informations par pays.

Dois-je également obtenir le consentement pour Google Analytics 4 ?

Oui, au moins dans l'Union européenne. Google Analytics 4 n'est pas une solution sans cookie. Il ne prend pas en charge les cookies de tiers, mais utilise des cookies de première partie qui requièrent un consentement en vertu de la législation européenne.

Notez que les outils d'analyse de sites web respectueux de la vie privée, tels que Simple Analytics, ne requièrent pas de consentement et ne nécessitent donc pas de bannière de cookie.

Comment recueillir le consentement ?

La manière la plus pratique de recueillir le consentement est d'utiliser une bannière de cookies. Cette bannière doit fournir des informations claires sur la finalité des cookies et proposer une option claire et facile pour les rejeter.

Les sites web s'appuient généralement sur des logiciels tiers appelés plateformes de gestion du consentement (CMP) pour gérer le consentement. Heureusement, la plupart des plateformes de gestion du consentement sont intégrées à Google Analytics, de sorte qu'il n'est pas trop difficile de les faire fonctionner ensemble.

Veuillez noter que le consentement de l'UE est toujours, sans aucune exception, un consentement volontaire (opt-in). Concrètement, votre visiteur doit cliquer sur une sorte de bouton "oui, donnez-moi des cookies". Il ne suffit pas de lui donner la possibilité de se désinscrire !

Comment recueillir le consentement dans Google Analytics ?

  • Utilisez une plateforme de gestion du consentement (CMP): mettez en place une plateforme de gestiondu consentement sur votre site web. Cette plateforme affichera une bannière de consentement aux utilisateurs et leur permettra de choisir leurs préférences concernant l'utilisation des cookies et la collecte de données.
  • Configurez votre CMP : C'est à vous de vous assurer que votre CMP est configurée de manière conforme au GDPR ! Ne pensez pas que le travail est terminé simplement parce que vous avez une CMP. Entre autres choses, vous devez vous assurer que votre bannière de cookies offre une option claire de rejet des cookies et fournit des informations transparentes sur leur utilisation.
  • Configurez le GA4 pour le mode consentement: Dans GA4, vous pouvez activer le mode Consentement, qui vous permet d'ajuster le comportement de Google Analytics en fonction du consentement donné par l'utilisateur. Cette opération peut être effectuée dans les paramètres de propriété de GA4.
  • Modifiez votre configuration GA4: Ajustez votre configuration GA4 pour respecter les choix de consentement faits par les utilisateurs. Il s'agit généralement de modifier la balise d'analyse de votre site web afin de vérifier l'état du consentement **avant de lancer l'**analyse. Par exemple, à l'aide de Google Tag Manager, vous pouvez configurer des déclencheurs basés sur l'état du consentement.
  • Testez votre mise en œuvre : Enfin, veillez à tester minutieusement votre mise en œuvre pour vous assurer que les données analytiques se comportent correctement en fonction du consentement donné.
  • Révision et mise à jour régulières: les lois et les réglementations peuvent changer, c'est pourquoi vous devez régulièrement revoir et mettre à jour votre processus de gestion des consentements si nécessaire.

L'étape 4 dépend des intégrations CMP et Google Analytics que vous utilisez, il n'y a donc pas de script unique que vous pouvez copier et coller. Consultez la documentation de Google Analytics et de votre CMP pour connaître le code dont vous avez besoin dans votre cas particulier. Toutefois, la règle générale est que votre site web doit appeler le code de consentement avant de placer des cookies. Dans le cas contraire, des cookies seront placés sans tenir compte des préférences de l'utilisateur, ce qui est illégal dans certains pays.

Comment puis-je configurer un bouton "Ne pas vendre" dans Google Analytics ?

Certaines lois relatives à la protection de la vie privée, telles que la loi sur la protection des données à caractère personnel, exigent une option de refus pour la vente d'informations personnelles. Voici comment mettre en place une telle option :

  • Développez un mécanisme sur votre site web (comme un bouton ou un lien dans votre page de politique de confidentialité) qui permet aux utilisateurs d'exprimer leur souhait de ne pas être suivis par Google Analytics.
  • Utilisez l'API JavaScript de Google Analytics pour respecter cette option de désactivation. Lorsqu'un utilisateur choisit de ne pas participer, vous pouvez activer un indicateur dans le cookie ou le stockage local de votre site web pour mémoriser cette préférence, et modifier votre code de suivi Google Analytics pour vérifier la présence de cet indicateur de désactivation avant d'envoyer des données.
  • Vous pouvez également utiliser une solution basée sur les cookies, dans laquelle le paramétrage d'un cookie spécifique demandera au JavaScript de Google Analytics de ne pas envoyer d'informations à Google Analytics pour l'utilisateur concerné.

Inutile de préciser que vous devez vous assurer que cette solution fonctionne avec toute intégration CMP ou GA que vous pourriez utiliser.

Là encore, cette solution n'est pas conforme à la législation européenne. Le GDPR et la directive sur la vie privée et les communications électroniques exigent un consentement explicite (opt-in) !

Comment puis-je honorer les demandes d'exclusion du suivi dans Google Analytics ?

Google Analytics ne reconnaît pas automatiquement les demandes de ne pas suivre, ce qui est plutôt exaspérant. Vous devez donc vous retrousser les manches et faire le travail vous-même :

  • Détecter les paramètres DNT : Tout d'abord, utilisez JavaScript pour détecter si l'utilisateur a activé le DNT dans son navigateur. Vous pouvez vérifier l'état des DNT en utilisant navigator.doNotTrack en JavaScript, qui renvoie 1 si les DNT sont activés.
  • Chargement conditionnel de GA4 : avant d'initialiser votre code de suivi GA4, appelez une fonction pour déterminer si le DNT est activé. Si c'est le cas, sautez l'initialisation de GA4.
  • Traitement côté serveur : Une autre solution consiste à gérer l'état des DNT du côté du serveur. Si une demande DNT est détectée, votre serveur peut modifier la page pour ne pas inclure le code de suivi GA4 ou pour inclure une version modifiée qui désactive l'envoi de données.

Il n'est pas obligatoire d'honorer les demandes DNT pour les utilisateurs de l'UE, mais si vous souhaitez le faire malgré tout, nous vous conseillons vivement de gérer l'état DNT côté serveur. La détection des DNT par JavaScript est un peu douteuse au regard de la directive "vie privée et communications électroniques" et il est préférable de pécher par excès de prudence.

Tout cela semble inutilement compliqué

Google a décidé de ne pas s'occuper de la gestion des consentements dans Google Analytics, laissant au client le soin de trouver un CMP conforme et de déterminer comment l'intégrer à Google Analytics.

Cette solution présente certains avantages : elle offre au client une grande souplesse et lui donne la possibilité de gérer la gestion des consentements en interne, s'il dispose du savoir-faire nécessaire. En revanche, cela rend Google Analytics plus difficile à utiliser, car aucun code unique à copier-coller ne permettra à GA de fonctionner avec les CMP et les intégrations de son choix.

Comment configurer correctement une CMP ?

N'oubliez pas que l'utilisation d'une CMP ne garantit pas que vous recueillez un consentement valide. Une CMP vous fournit les outils dont vous avez besoin pour gérer le consentement, mais c'est à vous de la configurer correctement.

Par exemple, pour vous conformer au GDPR, vous devez :

  • expliquer clairement à quoi servent vos cookies
  • fournir un lien vers votre politique de confidentialité
  • proposer un bouton "rejet" clairement visible sur la première couche.

Les exigences peuvent différer pour d'autres législations. Par exemple, la Californie n'a pas de règles en matière d'opt-in, mais certains sites web (pas tous ! Voir notre blog) sont tenus de respecter les signaux "do-not-track" et d'offrir une option d'opt-out pour la vente de données (et oui, cela inclut l'analyse web !).

La plupart des CMP jurent qu'ils sont prêts à l'emploi et déjà configurés pour se conformer à certaines législations, mais il vaut mieux être prudent - certains CMP ont été connus pour jouer un peu vite avec les règles dans le passé.

En résumé :

  • comprendre les exigences auxquelles vous devez vous conformer
  • veillez à ce que le CMP réponde à ces exigences.

Comment puis-je concevoir une bannière de cookies avec un bon taux de participation ?

En enfreignant la loi, tout simplement.

Les vendeurs de CMP voudraient vous faire croire qu'il existe une formule magique secrète pour créer une bannière de cookies conforme au GDPR avec des taux d'opt-in élevés, mais ce n'est pas ainsi que cela fonctionne. Il existe plusieurs astuces pour augmenter vos taux d'opt-in, mais elles sont au mieux louches et au pire carrément illégales.

Les régulateurs européens ont pris position sur les questions épineuses de la conception des bannières de cookies et ont précisé que de nombreuses astuces de conception largement répandues constituaient des violations du GDPR. Si vous voulez vous conformer à la loi, ne cachez pas le bouton "Rejeter tout" dans une deuxième ou troisième couche de votre avis sur les cookies. Ne forcez pas les utilisateurs à "personnaliser" leurs préférences afin de pouvoir leur proposer vingt paramètres différents, en espérant qu'ils se lasseront et se contenteront de cliquer sur "Accepter tout". Ne cachez pas votre bouton "rejeter" avec des polices petites ou à faible contraste et ne proposez pas d'options stupides comme "enregistrer".

Une bannière de cookies conforme au GDPR offre à l'utilisateur une option visible, immédiatement disponible et clairement formulée pour rejeter les traceurs inutiles. Ce type de bannière vous permettra également d'obtenir un faible taux d'opt-in, car les gens n'aiment pas être suivis. Pour en savoir plus sur l'analyse de sites web sans cookies , cliquez ici.

Réflexions finales

TL;DR : il y a un compromis entre la conformité au GDPR et les taux d'opt-in. Il n'y a pas de solution intelligente pour contourner ce problème.

La configuration de Google Analytics est plus compliquée qu'elle ne devrait l'être et peut être assez contraignante pour les petites organisations. Simple Analytics est une solution plus intuitive et plus respectueuse de la vie privée ! Vous pouvez l'installer et le configurer avec quelques lignes de code. Avec son interface intuitive et son assistant IA intégré, vous pouvez démarrer en un rien de temps.

Nous sommes également fiers que notre produit soit respectueux de la vie privée et conforme au GDPR ! Nous vous donnons toutes les informations dont nous avons besoin sans collecter de données personnelles. Cette politique respecte la vie privée de l'utilisateur et évite tout problème de conformité !

Si cela vous convient, n'hésitez pas à nous essayer!

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours