EN FR

Checklist RGPD analytics : 10 vérifications avant d'installer un outil de mesure

Checklist RGPD analytics : 10 vérifications avant d'installer un outil de mesure

Installer un outil analytics est facile. Le gouverner correctement l’est moins. Un script peut être en ligne en cinq minutes, mais l’équipe doit encore savoir ce qu’il collecte, pourquoi, pendant combien de temps et quel choix est présenté aux visiteurs.

Utilisez cette checklist avant d’ajouter ou de modifier un outil de mesure. Elle ne remplace pas une analyse juridique. Elle donne un cadre pratique pour aligner produit, marketing, engineering et privacy.

1. Définir la finalité

Écrivez la finalité en une phrase. “Comprendre l’audience et la performance du site” n’est pas la même chose que l’attribution publicitaire, le retargeting, l’analyse comportementale produit ou l’enrichissement CRM. Séparez les finalités avant de choisir l’outil.

2. Séparer collecte minimale et collecte enrichie

Définissez ce qui relève du reporting d’audience minimal et ce qui relève du suivi enrichi. Paramètres de campagne, événements détaillés, objectifs, contexte technique et segmentation multi-sites doivent être des choix de configuration explicites.

3. Lister les champs collectés

Regardez le payload, pas seulement le dashboard. Vérifiez URL, référent, user agent, langue, données écran, paramètres de campagne, identifiants, événements et propriétés personnalisées. Supprimez les champs qui ne servent pas la finalité déclarée.

4. Vérifier le moment de déclenchement

Utilisez un profil navigateur propre et inspectez les scripts déclenchés avant tout choix visiteur. Faites-le sur l’accueil, les landing pages, les formulaires, les parcours d’achat ou d’inscription et les zones authentifiées.

5. Fixer les règles de rétention

Définissez la rétention des événements bruts, rapports agrégés, exports et sauvegardes. Une rétention longue doit être justifiée par un besoin opérationnel réel, pas par un réglage par défaut.

6. Revoir les conditions fournisseur

Confirmez le rôle du fournisseur, le lieu d’hébergement, les sous-traitants, les transferts, les accès support et les clauses de réutilisation. Conservez l’accord de traitement à jour avec le dossier de lancement.

7. Mettre à jour l’information publique

La politique de confidentialité doit nommer l’outil, décrire la finalité, lister les grandes catégories de données, expliquer la rétention et pointer vers le mécanisme de choix ou d’opposition pertinent.

8. Tester Strict et Extended

Si votre produit sépare Strict et Extended, testez les deux modes dans le navigateur et dans le stockage. Strict ne doit pas persister de champs enrichis. Extended doit être explicite et documenté.

9. Contrôler les accès et exports

La donnée analytics circule vite via CSV, captures d’écran et dashboards partagés. Limitez les accès aux personnes qui en ont besoin et définissez une règle pour les exports.

10. Conserver les preuves

Gardez le test navigateur, la revue payload, les liens fournisseur, la mise à jour privacy et le responsable de release dans votre checklist de lancement. Les preuves comptent quand une décision doit être réexpliquée.

Lecture pour le lancement Pomelo

Pour Pomelo, cette checklist se traduit par une doctrine simple : Strict par défaut, Extended par configuration, aucune mutation de profil depuis les rapports, et des explications claires dans le dashboard quand la disponibilité des données dépend du mode de collecte.

Sources

Articles similaires

Sanctions CNIL : ce que les équipes analytics doivent retenir avant le lancement

Sanctions CNIL : ce que les équipes analytics doivent retenir avant le lancement

Session replay et CNIL : ce que les équipes doivent vérifier après la consultation 2026

Session replay et CNIL : ce que les équipes doivent vérifier après la consultation 2026