GDPR: ce que cela signifie pour Google Analytics et le marketing en ligne

Si vous avez été sur Internet au cours des derniers mois, vous avez probablement vu beaucoup d'avis sur les mises à jour de politique de confidentialité d'un service ou d'un autre. En tant que spécialiste du marketing, certains de ces avis proviennent très probablement de Google.

Avec la mise en vigueur du Règlement général sur la protection des données personnelles (GDPR) le 25 mai 2018, de nombreux services Internet se sont démenés pour se mettre en conformité avec les nouvelles normes – et Google ne fait pas exception. Compte tenu de la nature des services que Google fournit aux spécialistes du marketing, GDPR a apporté des changements significatifs dans la conduite de ses affaires. Et, à leur tour, certains commerçants peuvent avoir à prendre des mesures pour s'assurer que leur utilisation de Google Analytics est autorisée en vertu des nouvelles règles. Mais beaucoup de spécialistes du marketing ne savent pas exactement ce qu'est exactement le GDPR, ce que cela signifie pour leur travail et ce qu'ils doivent faire pour suivre les règles.

Qu'est-ce que GDPR?

GDPR est une réforme très large qui donne aux citoyens qui vivent dans l'Espace économique européen (EEE) et en Suisse plus de contrôle sur la façon dont leurs données personnelles sont collectées et utilisées en ligne. GDPR introduit un grand nombre de nouvelles règles et si vous êtes prêt pour une lecture légère, vous pouvez consulter le texte intégral du règlement en ligne. Mais voici quelques-uns des changements les plus significatifs:

• Les entreprises et autres organisations doivent être plus transparentes et indiquer clairement quelles informations elles recueillent, à quoi elles seront utilisées, comment elles seront collectées, et si l'information sera partagée avec quelqu'un d'autre. Ils peuvent également collecter uniquement des informations directement pertinentes pour l'utilisation prévue. Si l'organisation qui collecte ces informations décide ultérieurement de les utiliser à d'autres fins, elle doit à nouveau obtenir l'autorisation de chaque individu.
• GDPR explique également comment ces informations doivent être communiquées aux consommateurs. Cette information ne peut plus être cachée dans de longues politiques de confidentialité remplies de jargon juridique. Les informations contenues dans les divulgations doivent être rédigées dans un langage clair et «librement donné, spécifique, informé et sans ambiguïté». Les individus doivent également prendre une mesure qui donne clairement leur consentement à la collecte de leurs informations. Les boîtes pré-cochées et les avis qui reposent sur l'inaction comme moyen de donner son consentement ne seront plus autorisés. Si un utilisateur n'accepte pas que ses informations soient collectées, vous ne pouvez pas lui interdire d'accéder au contenu basé sur ce fait.
• Les consommateurs ont également le droit de voir quelles informations une entreprise a sur eux, de demander que des informations incorrectes soient corrigées, révoquent l'autorisation de sauvegarder leurs données et d'exporter leurs données pour pouvoir passer à un autre service. Si une personne décide de révoquer sa permission, l'organisation doit non seulement retirer cette information de son système en temps opportun, mais elle doit également la retirer de tout endroit où elle a partagé cette information.
• pour donner la preuve des mesures qu'ils prennent pour être en conformité. Cela peut inclure la tenue de registres sur la façon dont les gens choisissent d'être sur les listes de marketing et de documentation sur la protection des informations clients.
• Une fois les informations collectées, GDPR définit les conditions de stockage et de protection de ces informations. Si une violation de données se produit, les consommateurs doivent être avisés dans les 72 heures. Ne pas se conformer au GDPR peut avoir des conséquences très graves. Si une violation de données se produit en raison d'une non-conformité, une entreprise peut être frappée d'amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires global annuel de l'entreprise, quel que soit le montant le plus élevé.

Les entreprises basées aux États-Unis doivent-elles s'inquiéter du GDPR?

Le simple fait qu'une entreprise ne soit pas basée en Europe ne signifie pas nécessairement qu'elle ne soit pas liée au GDPR. Si une entreprise est basée aux États-Unis (ou ailleurs en dehors de l'EEE), mais mène des affaires en Europe, recueille des données sur les utilisateurs européens, se vend en Europe ou emploie des employés en Europe, GDPR s'applique également à eux.

Même si vous travaillez avec une entreprise qui ne fait que des affaires dans une zone géographique très spécifique, vous pouvez parfois recevoir des visiteurs de votre site à partir de personnes extérieures à cette région. Par exemple, disons qu'une pizzeria à Detroit publie un article sur l'histoire de la pizza sur son site. C'est un poste très instructif et par conséquent, il apporte un peu de trafic des amateurs de pizza à l'extérieur de la région de Detroit, y compris quelques visiteurs de l'Espagne. GDPR s'appliquerait-il encore dans ce genre de situation?

Tant qu'il est clair que les biens ou services d'une entreprise ne sont disponibles qu'aux consommateurs aux États-Unis (ou dans un autre pays en dehors de l'EEE), le GDPR ne s'applique pas. Pour en revenir à l'exemple de la pizzeria, l'autre contenu sur leur site est écrit en anglais, souligne leur emplacement de Detroit, et ne fait absolument aucune référence à la livraison en Espagne, donc ces quelques pages vues de l'Espagne ne seraient rien s'inquiéter pour.

Cependant, disons qu'une autre société basée aux Etats-Unis dispose d'un site avec la possibilité de visualiser les pages en allemand et en français, de payer les clients en euros et d'utiliser un langage marketing qui fait référence aux clients européens. Dans cette situation, le GDPR s'appliquera car ils sollicitent plus clairement les entreprises européennes.

Google Analytics et GDPR

Si vous utilisez Google Analytics, Google est votre processeur de données et comme ils traitent des données provenant de personnes partout dans le monde, ils ont dû prendre des mesures pour se mettre en conformité avec Normes GDPR. Cependant, vous / votre entreprise êtes considérés comme le responsable du traitement des données dans cette relation et vous devez également prendre des mesures pour vous assurer que votre compte Google Analytics est configuré pour répondre aux nouvelles exigences.

Google a déployé quelques nouvelles fonctionnalités pour aider à y arriver. Dans Google Analytics, vous aurez désormais la possibilité de supprimer les informations des utilisateurs individuels s'ils le demandent. Ils ont également introduit des paramètres de conservation des données qui vous permettent de contrôler la durée d'enregistrement des données utilisateur individuelles avant leur suppression automatique. Google a défini ce paramètre sur 26 mois comme paramètre par défaut, mais si vous travaillez avec une société basée aux États-Unis qui exerce strictement son activité aux États-Unis, vous pouvez la définir pour qu'elle n'expire jamais, au moins jusqu'à la protection des données. les lois changent ici aussi. Il est important de noter que cela s'applique uniquement aux données sur les utilisateurs et les événements individuels, de sorte que les données agrégées sur les informations de haut niveau telles que les pages vues ne seront pas affectées par cela.

Pour vous assurer que vous utilisez Google Analytics en conformité avec GDPR, vous pouvez commencer par auditer toutes les données que vous collectez pour vous assurer qu'elles sont toutes pertinentes par rapport à leur objectif et que vous n'envoyez pas par hasard des identifiants personnels. informations (PII) à Google Analytics. L'envoi de PII à Google Analytics était déjà contraire à ses Conditions d'utilisation, mais très souvent, cela arrive par hasard lorsque l'information est transmise dans une URL de page. S'il s'avère que vous envoyez des informations personnelles à Google Analytics, vous devez en parler à votre équipe de développement Web, car l'utilisation de filtres dans Google Analytics pour les bloquer ne suffit pas. Vous devez vous assurer que ces informations ne sont jamais envoyées à Google. Analytics en premier lieu.

Les renseignements personnels comprennent tout ce qui peut potentiellement être utilisé pour identifier une personne en particulier ou en combinaison avec une autre information, comme une adresse courriel, une adresse personnelle, une date de naissance, un code postal ou une adresse IP . Les adresses IP n'étaient pas toujours considérées comme des informations personnelles, mais GDPR les classifie comme un identifiant en ligne. Ne vous inquiétez pas, cependant, vous pouvez toujours obtenir des informations géographiques sur les visiteurs de votre site. Tout ce que vous avez à faire est d'activer l'anonymisation IP et la dernière partie d'une adresse IP sera remplacée par un zéro, de sorte que vous pouvez toujours avoir une idée générale de l'origine de votre trafic, même si elle sera un peu moins précise.

Si vous utilisez Google Tag Manager, l'anonymisation de l'adresse IP est assez simple. Ouvrez simplement votre variable Google Analytics ou sa variable de paramètres, choisissez "Plus de paramètres" et sélectionnez "Champs à définir". Ensuite, choisissez "anonymizeip" dans la zone "Nom de champ", entrez "true" dans la zone "Valeur", "Et sauvegardez vos modifications.

Si vous n'utilisez pas GTM, demandez à votre équipe de développement Web de modifier le code de Google Analytics pour anonymiser les adresses IP.

Les informations pseudonymes telles que les ID utilisateur et les ID de transaction sont toujours acceptables sous GDPR, mais elles doivent être protégées. Les ID d'utilisateur et de transaction doivent être des identifiants de base de données alphanumériques, non écrits en texte brut.

Aussi, si vous ne l'avez pas déjà fait, n'oubliez pas de prendre les mesures que Google a mentionnées dans certains de ces courriels qu'ils ont envoyés. Si vous résidez en dehors de l'EEE et que le GDPR s'applique à vous, accédez aux paramètres de votre compte Google Analytics et acceptez les conditions de traitement mises à jour. Si vous êtes basé dans l'EEE, les termes mis à jour ont déjà été inclus dans vos conditions de traitement de données. Si GDPR s'applique à vous, vous devrez également entrer dans les paramètres de votre organisation et fournir des informations de contact pour votre organisation.

Règles de confidentialité, formulaires et notifications de cookies

Maintenant que vous avez analysé vos paramètres dans Google Analytics, vous devez mettre à jour la politique de confidentialité, les formulaires et les notifications de cookies de votre site. Si votre entreprise dispose d'un service juridique, il est peut-être préférable de l'impliquer dans ce processus pour vous assurer que vous êtes entièrement conforme.

Selon GDPR, la politique de confidentialité d'un site doit être clairement rédigée dans un langage simple et répondre aux questions de base telles que les informations collectées, les raisons de leur collecte, leur collecte, leur collecte, leur utilisation, et si cela sera partagé avec quelqu'un d'autre. Si votre site est susceptible d'être visité par des enfants, cette information doit être écrite assez simplement pour qu'un enfant puisse la comprendre.

Les formulaires et les notifications de cookies doivent également fournir ce type d'informations. Les formulaires de consentement des cookies contiennent des messages génériques très vagues, tels que "Nous utilisons des cookies pour vous donner une meilleure expérience et en utilisant ce site, vous acceptez notre politique", ne sont pas conformes à la GDPR.

GDPR et autres types de marketing

L'impact que GDPR aura sur les marketers ne se limite pas à la façon dont vous utilisez Google Analytics. Si vous utilisez certains types de marketing dans le cadre de votre travail, vous devrez peut-être apporter d'autres modifications.

Offres de parrainage

Si vous travaillez avec une entreprise qui propose des promotions de type «parrainer un ami» où un client doit entrer des informations pour qu'un ami puisse bénéficier d'une réduction, GDPR fera la différence pour vous. Donner son consentement pour les données à collecter est un élément clé de GDPR et dans ce genre de promotions, la personne référée ne peut pas consentir clairement à ce que ses informations soient collectées. Sous GDPR, il est possible de continuer cette pratique, mais tout dépend de la façon dont cette information est utilisée. Si vous stockez les informations de la personne référée et que vous l'utilisez à des fins de marketing, cela constituerait une violation des normes GDPR. Cependant, si vous ne stockez pas ces informations ou ne les traitez pas, vous êtes OK.

Email marketing

Si vous êtes un spécialiste du marketing par courriel et que vous suivez déjà les meilleures normes de l'industrie en envoyant des messages à ceux qui choisissent clairement votre liste et en facilitant la désinscription, la bonne nouvelle est que vous êtes probablement en assez bonne forme. En ce qui concerne le marketing par courriel, GDPR aura le plus grand impact sur ceux qui font des choses qui ont déjà été jugées sommaires, comme acheter des listes de contacts ou ne pas préciser quand quelqu'un s'inscrit pour recevoir des courriels de votre part.

Même si vous pensez que vous êtes prêt à partir, il est toujours temps de revoir vos contacts et de vérifier que vos contacts européens ont bien choisi d'être sur votre liste et que vous compreniez clairement ce qu'ils signaient. Si l'un de vos contacts n'a pas son pays dans la liste ou si vous n'êtes pas sûr de la manière dont il a opté, vous pouvez soit les supprimer de votre liste, soit les placer sur un segment distinct afin qu'il ne reçoive aucun message de votre part jusqu'à ce que vous puissiez comprendre cela. Même si vous êtes sûr que vos contacts européens ont opté, il n'y a aucun mal à envoyer un courriel leur demandant de confirmer qu'ils aimeraient continuer à recevoir des messages de votre part.

La création d'un double processus d'inscription n'est pas obligatoire, mais ce serait une bonne idée car cela permet de lever tout doute sur le fait qu'une personne ait ou non accepté d'être sur votre liste. Pendant que vous y êtes, jetez un coup d'oeil aux formulaires que les gens utilisent pour s'inscrire sur votre liste et assurez-vous qu'ils sont conformes aux normes du GDPR, sans cases pré-cochées et sans être d'accord. recevoir des courriels de votre part est très clair.

Par exemple, voici une option d'inscription d'e-mail non compatible GDPR que j'ai récemment vue sur une page de paiement. Ils vous disent ce qu'ils ont l'intention de vous envoyer, mais le fait qu'il s'agisse d'une case pré-cochée placée sous le bouton «Passer commande» permet aux utilisateurs de s'inscrire involontairement pour recevoir des courriels qu'ils ne souhaitent pas .

Jimmy Choo, d'un autre côté, vous donne également la possibilité de vous inscrire à des e-mails lors d'un achat, mais comme la boîte n'est pas pré-cochée, il est bon de passer sous GDPR.

Automatisation du marketing

Comme dans le cas du marketing par courriel standard, les spécialistes de l'automatisation du marketing doivent s'assurer d'obtenir le consentement de tous ceux qui ont accepté de faire partie de leur liste. Vérifiez vos contacts européens pour vous assurer de savoir comment ils ont opté. Examinez également les façons dont les gens peuvent s'inscrire dans votre liste pour s'assurer qu'ils savent exactement ce qu'ils signent pour que vos contacts existants soient considérés comme valides. .

Si vous utilisez l'automatisation marketing pour réactiver les clients inactifs depuis un certain temps, vous devrez peut-être obtenir la permission de les contacter à nouveau, en fonction de la durée écoulée depuis leur dernière interaction avec vous.

Certaines plates-formes d'automatisation marketing ont des fonctionnalités qui seront impactées par GDPR. La notation de plomb, par exemple, est maintenant considérée comme une forme de profilage et vous devrez obtenir la permission des individus pour que leurs informations soient utilisées de cette manière. Le suivi IP inversé nécessite également le consentement.

Il est également important de vous assurer que votre plate-forme d'automatisation marketing et votre système CRM sont configurés pour se synchroniser automatiquement. Si une personne de votre liste se désinscrit et continue de recevoir des courriels à cause d'un manquement entre les deux, vous pourriez avoir des problèmes pour ne pas être conforme à la GDPR.

Contenu sécurisé

De nombreuses entreprises utilisent le contenu contrôlé, comme les rapports gratuits, les livres blancs ou les webinaires, pour générer des prospects. De la façon dont ils le voient, l'information de la personne sert de prix d'admission. Mais puisque GDPR interdit de bloquer l'accès au contenu si une personne ne consent pas à ce que ses informations soient collectées, le contenu sécurisé est-il effectivement inutile maintenant?

GDPR n'élimine pas complètement la possibilité d'un contenu sécurisé, mais il existe maintenant des normes plus élevées pour la collecte d'informations utilisateur. Fondamentalement, si vous devez avoir du contenu bloqué, vous devez être en mesure de prouver que les informations que vous collectez sont nécessaires pour que vous fournissiez le livrable. Par exemple, si vous organisez un webinaire, vous seriez justifié de collecter des adresses e-mail car les participants doivent recevoir un lien pour participer. Vous auriez plus de mal à affirmer qu'une adresse e-mail était requise pour quelque chose comme un livre blanc. cela ne doit pas nécessairement être livré par e-mail. Et bien sûr, comme pour tout autre formulaire sur un site, les formulaires de contenu sécurisé doivent indiquer clairement toutes les informations nécessaires sur la manière dont les informations collectées seront utilisées.

De toute façon, si vous ne recevez pas beaucoup de prospects des utilisateurs européens, vous voudrez peut-être simplement bloquer tout contenu sécurisé des visiteurs européens. Une autre option serait d'aller de l'avant et de mettre cette information à la disposition des visiteurs d'Europe.

Google AdWords

Si vous utilisez Google AdWords pour faire de la publicité auprès des résidents européens, Google demandait déjà aux éditeurs et aux annonceurs d'obtenir la permission des utilisateurs finaux en mettant des avertissements sur la page de destination, mais GDPR apporterait des modifications. Google va maintenant demander aux éditeurs d'obtenir le consentement clair des individus pour que leurs informations soient collectées. Cela signifie non seulement que vous devez fournir plus d'informations sur la façon dont les informations d'une personne seront utilisées, mais aussi que vous devez conserver les enregistrements du consentement et indiquer aux utilisateurs comment ils peuvent se désister plus tard s'ils le souhaitent. Si une personne ne donne pas son consentement à la collecte de ses informations, Google permettra de leur servir des publicités non personnalisées.

En fin de compte

GDPR est un changement important et tente de saisir toute la portée de ses changements sont assez décourageants. Ceci est loin d'être un guide complet, donc si vous avez des questions sur la façon dont GDPR s'applique à un client particulier avec lequel vous travaillez, il peut être préférable de contacter leur service juridique ou leur équipe. GDPR aura un impact sur certaines industries plus que sur d'autres, il est donc préférable d'obtenir des informations de la part de quelqu'un qui comprend vraiment la loi et comment elle s'applique à cette entreprise spécifique.