Suite aux décisions de certaines autorités européennes de protection des données, vous avez sûrement reçu des demandes de suppression des données traitées par Google Analytics de la part de certains utilisateurs.
Dans cet article, nous essayerons de comprendre ensemble si ces demandes sont légitimes, et comment les gérer.
Cet article fait partie d’une série à propos du statut actuel de Google Analytics en Europe. Consultez les autres articles à ce sujet ici :
L’article 17 du RGPD accorde aux utilisateurs (personnes concernées) le droit de demander la suppression des données personnelles détenues par les responsables du traitement de données si l’une des conditions suivantes s’applique :
Lorsque l’un des cas listés dans l’article 17 se présente, la légitimité de ce type de demandes ne peut pas être remise en cause. Le responsable du traitement est obligé d’honorer ces demandes dans les meilleurs délais, et dans tous les cas, avant 1 mois après les avoir reçues, à moins que ne s’applique l’une des conditions pour lesquelles le droit à l’effacement peut être refusé.
Chaque demande doit être évaluée au cas par cas, tout en prenant en considération les éléments apportés par l’utilisateur pour soutenir sa volonté d’exercer son droit de suppression de ses données personnelles.
Pour supprimer les données de l’utilisateur ayant effectué une demande, vous devez vous assurer d’avoir les informations suffisantes permettant d’identifier correctement l’utilisateur.
L’information principale pour l’identifier est le « Client ID ». Cette valeur peut être récupérée grâce au cookie Google Analytics appelé _ga (similaire à GA1908667103.1592401814). D’autres informations peuvent rendre l’identification plus précise, par exemple l’adresse IP complète et la date/heure de la dernière visite sur le site web.
Si vous n’êtes pas en possession de ces éléments, il sera impossible d’identifier les données de la personne concernées avec certitude, vous devrez donc solliciter l’utilisateur directement pour donner suite à sa demande.
Une fois que vous avez rassemblé les informations nécessaires, vous pouvez procéder à la suppression.
Tout d’abord, connectez-vous et accédez à votre tableau de bord Google Analytics.
Depuis le menu, sélectionnez Audience puis User Explorer.
Filtrez par ID Client et cherchez le code qui vous a été fourni (ex. 1908667103.1592401814). Vous pouvez également utiliser d’autres filtres (IP, date/heure pour une identification plus précise).
Cliquez sur l’ID client qui apparaît, et cliquez sur le bouton Supprimer l’utilisateur qui se trouve en bas de la page.
Cliquez OK sur le message qui s’affiche pour confirmer la suppression.
De cette façon, vous aurez honoré la demande de l’utilisateur et vous pouvez envoyer une confirmation que les données ont bien été supprimées.
Il n’existe pas de réponse ultime à cette question, car l’enquête sur Google Analytics est toujours en cours. Cependant, certaines autorités de protection des données comme le Garante italien ont déclaré que pour continuer à utiliser Google Analytics 3, des mesures de sécurité supplémentaires doivent être mises en place.
Cependant, ces mesures n’ont pas été clairement définies en pratique. Voici quelques alternatives à considérer :
