Google Signals et RGPD : guide de confidentialité et conformité

TL;DR : Google Signals associe les sessions GA4 aux comptes Google pour le suivi multi-appareils, ce qui constitue une collecte de donnees personnelles necessitant un consentement explicite selon le RGPD et la CNIL. Sans consentement valide, l'activation de Google Signals est illicite. Ce guide explique ce que fait Google Signals, pourquoi il pose probleme, comment le desactiver et les erreurs a eviter.

Que fait Google Signals ?

Google Signals est une fonctionnalite de GA4 qui, lorsqu'elle est activee, produit quatre effets principaux :

1. Rapprochement inter-appareils : Google associe vos sessions GA4 a l'identifiant Google de l'utilisateur pour reconstruire son parcours sur mobile, tablette et desktop
2. Donnees demographiques et centres d'interet : GA4 recoit des donnees sur l'age, le genre et les categories d'interet des utilisateurs connectes a Google
3. Remarketing ameliore : les listes d'audience GA4 sont enrichies avec les signaux Google pour cibler les utilisateurs sur l'ensemble du reseau Google
4. Attribution cross-canal : les conversions sont attribuees de facon plus precise en croisant les sessions multi-appareils

Google Signals et RGPD : position de la CNIL

La CNIL a rappele dans plusieurs deliberations que le suivi multi-appareils via Google Signals constitue un traitement de donnees personnelles au sens de l'article 4 du RGPD. Les exigences cles sont :

• Le consentement doit etre obtenu avant l'activation de Google Signals
• L'utilisateur doit etre informe que ses donnees sont liees a son compte Google
• La finalite du suivi multi-appareils doit etre expressement mentionnee dans la politique de cookies
• Le retrait du consentement doit stopper immediatement la transmission des donnees Signals

Comment desactiver Google Signals dans GA4

Si vous ne disposez pas d'un consentement valide, ou si vous souhaitez limiter la collecte, voici comment desactiver Google Signals :

1. Connectez-vous a Google Analytics 4 et accdez a Administration
2. Dans la colonne Propriete, cliquez sur Parametres de la propriete
3. Faites defiler jusqu'a Google Signals et cliquez sur Parametres des donnees Google
4. Cliquez sur Desactiver et confirmez la desactivation
5. Verifiez dans Flux de donnees que le signal est bien inactif

Effet de seuillage : ce que vous perdez en desactivant

Lorsque Google Signals est desactive ou lorsque les utilisateurs n'ont pas consenti, GA4 applique le seuillage des donnees. Cela signifie que certaines dimensions (age, genre, interet) disparaissent des rapports et que les rapports d'exploration peuvent afficher des donnees agregees ou masquees sous les seuils de confidentialite. Ce comportement est normal et attendu dans un dispositif conforme au RGPD.

Erreurs courantes liees a Google Signals

Activer Google Signals par defaut. GA4 active Google Signals automatiquement dans certaines configurations. Il faut verifier l'etat de l'activation lors de chaque creation de propriete GA4.

Confondre Signals et User-ID. User-ID est un mecanisme interne base sur votre propre identifiant client. Google Signals utilise l'identifiant du compte Google, ce sont deux choses distinctes avec des implications RGPD differentes.

Ne pas mentionner Signals dans la politique de cookies. La CNIL exige que chaque finalite de traitement soit explicitement decrite. Le suivi multi-appareils via Signals doit figurer comme finalite distincte.

Utiliser Signals sans Consent Mode v2. Sans Consent Mode v2, GA4 ne peut pas respecter l'etat du consentement de facon granulaire. Les quatre parametres doivent etre transmis avant le chargement de GA4.

Checklist Google Signals et RGPD

1. Verifiez si Google Signals est active dans votre propriete GA4
2. Si oui, assurez-vous d'obtenir un consentement explicite avant son activation
3. Mentionnez le suivi multi-appareils dans votre politique de cookies
4. Implementez Google Consent Mode v2 avec les quatre parametres
5. Testez que la desactivation de Signals s'applique bien quand le consentement est refuse
6. Surveillez l'impact du seuillage sur vos rapports d'audience
7. Documentez vos traitements Signals dans votre registre de traitements RGPD

Conclusion

Google Signals amplifie la puissance analytique de GA4, mais il introduit un risque RGPD significatif si le consentement n'est pas correctement gere. La CNIL a deja sanctionne des transferts de donnees vers Google sans base legale valable. Un dispositif de consentement conforme protege votre organisation.

Analysez votre site gratuitement pour verifier votre conformite : Scan gratuit FlowConsent