Nous sommes en mars 2021, d’ici quelques semaines la période d’adaptation aux nouvelles lignes directrices de la CNIL arrivera à terme.
Il y a encore pas mal de flou autour de ce qu’il faut faire, la CNIL demandant à chacun d’appliquer la loi et ne donnant pas d’exemple concret sur les solutions les plus connues, tel Google Analytics, en dehors de vidéos privée. Dans cet article, on va s’attarder à la question des cookies et principalement le cas de Google Analytics qui a une solution bien pratique pour la mise en conformité
Que dit la loi ?
Sans rentrer dans les détails, la CNIL a pour mission de faire appliquer le RGPD (Règlement Général sur la Protection des données) en France. En octobre dernier, cet organisme a mis à jour des lignes directrice et a indiqué quelques informations sur la durée de vie des cookies.
Dans des échanges avec des solutions privées (ci-dessous AT Internet), la CNIL s’est exprimée clairement sur le fait que Google Analytics ne pouvait partir sans consentement car certaines règles de leurs conditions d’utilisation n’étaient pas assez protectrices des données personnelles. Ces règles ont changé depuis cette vidéo mais la CNIL n’a toujours pas indiqué clairement que les portes étaient ouvertes pour récupérer de la donnée anonymisée sur GA sans consentement.
Et pour la suite ?
Il est fort possible que Google avance dans une bonne direction, dans tous les cas, même avec consentement Google ne propose pas, par défaut, de se caler à la loi française sur la restriction des cookies à 13 mois. Même s’il y a fort à parier que les navigateurs vont inclure une durée maximum de cookies dans les années à venir, vous pouvez d’ores et déjà vous mettre en conformité sur ce point grâce à un paramétrage qui vous prendra quelques minutes d’intégration.
Attention, la méthode qui va suivre impacte le tracking cross-domain. Si vous utilisez ce type de tracking cookie_update: false fera bugger votre implémentation.
Cookie 13 mois pour gtag.js
Si vous avez la dernière version d’Analytics il y a fort à parier que vous utilisez gtag.js. Idem si vous utilisez GA4 Pour vérifier cela affichez la source de votre site et recherchez « gtag.js ».
Ensuite, il vous faudra modifier cet extrait de code :
gtag('config', 'GA_MEASUREMENT_ID');
Par celui-ci :
gtag('config', 'GA_MEASUREMENT_ID', {
cookie_expires: 34164000,
cookie_update: false
});
La valeur « cookie_expires » est une valeur en seconde (ici 13 mois ou 34 164 000 secondes) qui va forcer la date d’expiration du cookie. La valeur cookie_update à false indique à Google de ne pas réinitialiser le cookie lors de la navigation. Comme le cookie est lié à la date de consentement c’est assez utile de ne pas le rendre « glissant ».
La documentation est ici.
13 mois non glissants analytics.js
Si vous utilisez une version précédente du script GA cette option est aussi compatible mais la syntaxe diffère un peu.
ga('create', 'UA-XXXXX-Y',
{'cookieExpires': 34164000, // Time in seconds.
'cookieUpdate': false});
Vous trouverez la documentation ici. Attention toutefois il semble manquer une virgule dans l’exemple du cookieExpires.
Google Tag Manager
Je vous suggère de passer vos intégrations à Google Tag Manager. Même s’il s’agit de ne mettre que Google Analytics sur vos sites le script sera exactement le même que celui de gtag et vous gagnerez du temps d’implémentation, notamment avec le paramétrage de GA.
Nous allons utiliser les mêmes méthodes que dans les chapitres précédents, pour vos tags Universal Analytics il faudra, au niveau de la variable des paramètres Analytics, ajouter dans les champs à définir les valeurs relatives à analytics.js (on en profite aussi pour ajouter l’anonymisation d’ip) :
Pour configurer GA4 il faudra prendre les valeurs de gtag.js dans la balise de configuration GA4. Ici, pas besoin de forcer l’anonymisation de l’ip qui est par défaut désactivé dans le tracking GA4. Rien ne vous empêche de le mettre si vous souhaitez être ceinture et bretelles (anonymize_ip : true).
Super ! Je peux maintenant envoyer GA sans consentement !
Non… toujours pas mais au moins vous respectez un peu plus les recommandations CNIL !
Hello!
Mais du coup il faut quoi pour envoyer son cookie sans consentement ?
Par exemple si je veux juste tracker mon trafic, rien de plus, je passe sur Matomo ?
Hello Julien ! Content de te voir par ici !
On a prévu un article sur cette thématique.
Pour te spoiler un peu : Matomo le permet ou sinon AT Internet a un mode hybride. Il faut cependant bien supprimer tout ce qui peut se rapporter à de la donnée personnelle. A noter que d’ici quelques mois la CNIL va tamponer toutes les solutions qui seront techniquement valable pour le consentement (à condition qu’elles aient déposée un dossier)
Bonjour, super ce blog !
J’ai une demande à vous faire comme vous êtes un peu la dream team FR sur ces sujets.
Pourriez-vous vous pencher sur la question « Site web de la CNIL » vs « Directive officielles » vs « Recos officielles » vs « RGPD » avec des juristes ?
J’ai noté des différences marquées entre les textes de lois FR / la RGPD et les « recos de la CNIL » telles qu’affichées sur leur site web.
Je constate aussi au quotidien que la majorité des juristes et avocats se fient au site web de la CNIL sans lire les textes de loi. Et que si on leur montre les textes officiels ils sont un peu surpris.
2 exemples
1- Sur le site de la CNIL, cette durée de 13 mois est clairement actée.
Alors qu’en vrai elle n’est ni dans la RGPD, ni dans les Directives votées mais seulement dans les « Recommandations » : https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf
et même dans cette reco elle est seulement indiquée à titre d’exemple !! « la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois. »
2- Un autre exemple concernant les traceurs. La RGPD est très limpide sur le sujet et indique qu’ils peuvent mesurer les performances publicitaires sans consentement. Mais la CNIL fait valoir que 100% des traceurs sont des données personnelles donc consentement obligatoire. Selon moi très discutable.
Ce qui se trame aujourd’hui :
1- la France va devenir un cas à part où tous les juristes suivent bêtement les recos du sites de la CNIL. Demain un site international devra avoir un bandeau cookie pour l’EU, et un autre pour la FR car nos directives s’eloignent de plus en plus de celles de la RGPD.
2- La RGPD est une bonne loi qui définit un cadre juridique sain et unique pour tous les pays de l’union européenne. La CNIL est en train de la transformer donc on se dirige dans une Europe où chaque pays fait à sa sauce – il faudra un Tag Manager différent pour chaque pays du monde. C’est désolant car les budgets product et comm sont impactés donc à la fin soit les sites seront moins biens soit les choses vendues seront plus chères.
Bonjour Fab,
Ton commentaire est très intéressant ! On aimerait bien avoir l’avis d’un juriste car on est loin de l’être. Nous nous contentons de résumer les avis de la CNIL et les différents échanges qu’on a pu avoir sur le sujet (et c’est vrai que ce n’est pas facile)
Tes exemples sont intéressants, sur le cookie 13 mois c’est en effet une recommandation qu’on peut retrouver sur leur article sur la mesure d’audience https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience
Cela fait partie aussi des éléments de tests automatique de la plupart des CMP.
Pour ton deuxième exemple et ta conclusion j’ai personnellement une autre approche : cette année sera votée le eprivacy 2 et le chemin que prend l’Europe serait de durcir un peu la loi pour s’aligner dans la direction de la CNIL française.
Comme je te disais je ne suis pas juriste et nous adorerons avoir un juriste qui réponde point par point ici, s’il y en a un ou un qui lit ce message qu’il nous contacte ou qu’il n’hésite pas à répondre 😉
Merci pour cet article, et bravo pour le site que je découvre !
Je m’étonnais de ne pas trouver de nouveaux articles sur le (feu) blog d’Aristide depuis fort longtemps.
Si dans un futur proche vous prévoyez un article sur le Google Consent Mode (et sa RGPD compliance) ce serait super.
Merci Mélanie, on traitera le Google Consent Mode quand ce sera plus clair car c’est loin d’être le cas pour l’aspect analytics aujourd’hui !
Le blog d’Aristide est toujours vivant mais on essaie de tout centraliser pour quelques mois, ça motive plus 🙂
Louange à Allâh, notre Seigneur, vous m’avez beaucoup aidé ! Cependant, j’aurais une question au sujet des déclencheurs : lequel faut-il choisir ? Merci
Hello Vincent et merci pour cet article ! Dès que j’ai un oubli sur une des valeurs des différents paramètres, je reviens tout le temps ici. Je ne m’étais encore jamais posé la question suivante. Est-ce que pour les event GA4, il faut aussi ajouter les paramètres cookie_expires et cookie_update ? Ou bien la balise de config GA4 qui doit se déclencher précédemment fait le travail. La question ne se posait pas trop avec UA vu que tout se paramétrait dans la variable GTM. Merci
Salut Maxime. La balise de config fait tout le travail, tu n’as pas à le faire sur chaque event ! Merci pour les encouragements