1) Responsable

Responsable au sens du RGPD :

  • Entreprise/Nom : Bernhard Prange, Webmasterei Prange
  • Adresse : Weg in der Aue 3, 34128 Kassel, Allemagne
  • E-mail : info@webmasterei-prange.de

2) Brève description de l’application

GA4 Auditor est une application web permettant d’analyser les configurations Google Analytics 4 (GA4) et la qualité des données.

L’application :

  • authentifie les utilisateurs via Google OAuth (OpenID Connect),
  • lit les données de configuration via l’API d’administration GA4,
  • lit les données agrégées de reporting et en temps réel via l’API de données GA4,
  • exécute – en option – des requêtes sur un export GA4 BigQuery existant (ensemble de données analytics_<PROPERTY_ID>).

L’application n’écrit aucune donnée dans GA4 ou BigQuery et n’apporte aucune modification aux configurations GA4.

3) Quelles données traitons-nous ?

3.1 Données de compte et de profil (connexion Google)

Lors de la connexion via Google OAuth, nous traitons notamment :

  • Adresse e-mail
  • Nom d’affichage
  • URL de la photo de profil (facultatif)

3.2 Données d’organisation, d’espace de travail et de propriété (gérées dans l’application)

Pour fournir les fonctions de l’application, nous enregistrons et traitons des données de configuration, notamment :

  • Données d’organisation : nom de l’organisation ; éventuellement les données d’adresse (rue, code postal, ville, pays)
  • Données de l’espace de travail : par exemple, ID de projet GCP, région, configurations techniques (par exemple, configuration backend/Dataform) au format JSON
  • Données de propriété : par exemple, ID de propriété GA4, projet/emplacement de l’ensemble de données BigQuery, fuseau horaire, événements attendus
  • Paramètres spécifiques à la propriété : par exemple, événements attendus, listes d’exclusion

Mesure de protection : certains identifiants (par exemple, les ID de propriété GA4) ne sont parfois pas stockés en texte clair, mais sous forme de hachages HMAC liés à l’organisation.

3.3 Données provenant des API Google (GA4 / BigQuery)

Selon les fonctions activées, l’application traite les données des services Google suivants :

  • API d’administration GA4 : par exemple, comptes, propriétés, liens BigQuery, flux, audiences, événements clés, paramètres de confidentialité
  • API de données GA4 : par exemple, données agrégées de reporting et en temps réel
  • Google BigQuery (facultatif) : Exécution de requêtes sur les tables d’export GA4 (events_*, events_intraday_*) pour effectuer des contrôles de qualité et de plausibilité

Principe : Ces données sont traitées principalement en temps réel et affichées dans l’interface utilisateur. Il n’y a pas de stockage permanent des données brutes GA4.

3.4 Données de support et de feedback

Lorsque les utilisateurs utilisent le formulaire de feedback ou de support, nous traitons :

  • Objet
  • Texte du message
  • Données de l’expéditeur (nom et e-mail issus de la connexion ; éventuellement une adresse de réponse indiquée manuellement)

La transmission s’effectue par e-mail (SMTP) à une adresse de support configurée.

3.5 Données techniques et journaux de serveur

Lors de l’exploitation de l’application, les données suivantes sont notamment générées pour des raisons techniques :

  • Adresse IP
  • Date et heure de l’accès
  • Métadonnées de la requête (par exemple, User-Agent)

Ces données sont traitées à des fins de sécurité d’exploitation, d’analyse des erreurs et de prévention des abus.

3.6 Analyse web (Matomo, auto-hébergé) – uniquement après consentement

Si nous utilisons l’analyse web, nous utilisons Matomo (auto-hébergé) pour l’analyse statistique et l’amélioration de l’application.

  • Matomo n’est activé qu’après votre consentement.
  • Des données d’utilisation (par exemple, les pages consultées, les interactions), des métadonnées techniques (par exemple, l’IP abrégée/anonymisée) et un ID utilisateur pseudonyme peuvent être traitées.

Aucune adresse e-mail en texte clair, jetons OAuth ou secrets comparables ne sont transmis à Matomo.

3.7 Communication par e-mail et gestion des contacts – selon la configuration

Selon la configuration, nous pouvons utiliser un service de communication par e-mail/gestion des contacts, par exemple pour :

  • Envoi d’e-mails système (invitations, notifications)
  • facultatif : informations relatives aux produits et services

Selon la fonction, l’adresse e-mail, le nom et les attributs liés à l’utilisation (par exemple, le nombre de connexions, la dernière connexion, le nombre de propriétés) peuvent notamment être traités.

Les jetons/secrets OAuth ne sont pas transmis aux services d’e-mail/marketing.

4) Finalités du traitement

Nous traitons les données personnelles notamment aux fins suivantes :

  • Fourniture de fonctions de connexion et de compte
  • Gestion des organisations, des espaces de travail et des propriétés
  • Réalisation et affichage d’analyses GA4 et (facultatif) BigQuery
  • Envoi d’e-mails système (par exemple, invitations, informations importantes relatives à la sécurité)
  • Envoi d’informations relatives aux produits et services aux clients existants (Soft Opt-in), dans la mesure où cela est autorisé et peut être désactivé à tout moment
  • Traitement des demandes de support et de feedback
  • Garantie de la sécurité, de la stabilité et de la prévention des abus
  • facultatif : analyse web statistique (uniquement après consentement)

5) Bases juridiques

Selon l’opération de traitement, les bases juridiques suivantes sont notamment envisageables :

  • Art. 6, paragraphe 1, point b du RGPD (contrat ou mesures précontractuelles ; par exemple, exploitation du compte, e-mails système)
  • Art. 6, paragraphe 1, point f du RGPD (intérêt légitime ; par exemple, sécurité informatique, analyse des erreurs, prévention des abus)
  • Art. 6, paragraphe 1, point a du RGPD (consentement ; par exemple, analyse web, si activée)

Dans la mesure où, dans le cadre de fonctions facultatives, des informations sont enregistrées sur le terminal ou lues (par exemple, cookies/ID pour l’analyse web), cela se fait – dans la mesure où cela est nécessaire – sur la base d’un consentement conformément au § 25 TDDDG.

Dans la mesure où nous envoyons des informations relatives aux produits et services aux clients existants, nous nous appuyons – si applicable – sur l’exception relative aux clients existants (par exemple, § 7, paragraphe 3 UWG) et/ou sur l’art. 6, paragraphe 1, point f du RGPD. Vous pouvez vous opposer à cette utilisation à tout moment ; une possibilité de désinscription se trouve dans chaque e-mail.

6) Destinataires et sous-traitants

Selon l’utilisation et la configuration, les données peuvent être transmises aux destinataires ou catégories de prestataires de services suivants :

  • Google (OAuth, API d’administration GA4, API de données GA4 ; BigQuery facultatif) – pour la fourniture des fonctions Google demandées par les utilisateurs.
  • Hébergement/exploitation de la plateforme (par exemple, Google Cloud Platform) – Exploitation de l’infrastructure de l’application.
  • Prestataire de services e-mail/SMTP – Envoi d’invitations, d’e-mails système et de messages de support.
  • Analyse web/gestion des balises (facultatif) : Matomo (auto-hébergé) – uniquement après consentement.
  • Gestion des contacts/service e-mail (facultatif) : par exemple, Brevo – selon la configuration et la base juridique.

Des contrats de traitement des commandes (AVV) sont conclus avec les prestataires de services – dans la mesure où cela est nécessaire.

7) Transfert de données vers des pays tiers

Lors de l’utilisation de prestataires de services externes (notamment Google et, le cas échéant, d’autres fournisseurs), un traitement ou un transfert de données personnelles vers des pays tiers (par exemple, les États-Unis) ne peut être exclu.

Dans la mesure où cela est nécessaire, nous appuyons les transferts vers des pays tiers sur des garanties appropriées, notamment :

  • Décisions d’adéquation (par exemple, EU–US Data Privacy Framework, si applicable) et/ou
  • Clauses contractuelles types de l’UE (CCT) ainsi que des mesures supplémentaires.

8) Cookies, sessions et gestion du consentement

L’application utilise des cookies techniquement nécessaires :

  • Cookie de session pour la connexion et la gestion de session
  • Cookie de courte durée pour le transfert de connexion OAuth (ne contient qu’un ID de transfert aléatoire, pas de jetons OAuth)

Les cookies/technologies optionnels (analyse web) ne sont activés – s’ils sont utilisés – qu’après votre consentement.

Les cookies sont définis – dans la mesure où cela est techniquement possible – avec HttpOnly, SameSite=Lax et Secure (avec HTTPS).

9) Durée de stockage et suppression

Nous ne stockons les données personnelles que le temps nécessaire aux fins respectives. Dans la mesure où aucune obligation légale de conservation ne s’y oppose, les délais suivants s’appliquent notamment :

  • Données de compte et d’organisation : jusqu’à la suppression du compte ; ensuite, suppression/anonymisation généralement dans un délai de 30 jours (éventuellement conservation plus longue si cela est légalement requis).
  • Configurations de l’espace de travail/de la propriété : jusqu’à la suppression par l’organisation ou jusqu’à la suppression du compte ; ensuite, suppression généralement dans un délai de 30 jours.
  • Invitations : jusqu’à l’acceptation ou l’expiration ; ensuite, suppression généralement dans un délai de 90 jours.
  • Jetons d’accès OAuth : uniquement brièvement dans la session active (généralement minutes/heures).
  • Jetons d’actualisation OAuth (si disponibles) : jusqu’à la révocation par l’utilisateur, l’expiration ou la suppression du compte ; ensuite, suppression généralement dans un délai de 30 jours.
  • Transferts de connexion OAuth (de courte durée) : quelques secondes/minutes ; nettoyage automatique au plus tard après 24 heures.
  • Journaux de serveur/journaux de sécurité : généralement 14 jours, sauf si cela est nécessaire plus longtemps pour élucider un incident de sécurité.
  • Communication de support/feedback : généralement jusqu’à 24 mois (ou moins si la finalité disparaît plus tôt), éventuellement plus longtemps en cas d’obligations légales de preuve.
  • Sauvegardes : Les sauvegardes peuvent encore contenir des données jusqu’à 35 jours ; celles-ci sont écrasées/supprimées régulièrement.

9.1 Suppression de compte / demandes de suppression

Vous pouvez demander la suppression de votre compte et/ou de vos données :

Nous traitons les demandes de suppression généralement dans un délai de 30 jours, dans la mesure où aucune obligation légale ne s’y oppose.

10) Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées, notamment :

  • Chiffrement des données sensibles et des jetons « au repos »
  • Chiffrement du transport HTTPS
  • Concept d’autorisation et d’accès basé sur les rôles
  • Durcissement de la configuration de session et de cookie

11) Droits des personnes concernées

Les personnes concernées ont notamment le droit de :

  • Accès
  • Rectification
  • Suppression
  • Limitation du traitement
  • Portabilité des données
  • Opposition au traitement
  • Révocation des consentements accordés
  • Réclamation auprès d’une autorité de contrôle de la protection des données

Les demandes peuvent être adressées à info@webmasterei-prange.de.

12) Google OAuth / Utilisation de l’API Google

12.1 Révocation des accès Google

Les utilisateurs peuvent révoquer à tout moment l’accès de l’application à leur compte Google dans les paramètres de leur compte Google (accès tiers).

12.2 Pas d’utilisations inadmissibles (clarification)

Nous utilisons les données utilisateur de Google exclusivement pour fournir et améliorer les fonctions demandées par les utilisateurs (analyse GA4, contrôles de qualité).

En particulier, il est valable :

  • Nous ne vendons pas de données utilisateur de Google.
  • Nous n’utilisons pas les données des API Google (notamment les données de requête GA4/BigQuery ainsi que les jetons OAuth) à des fins de publicité/marketing, de profilage, de courtage de données ou de scoring de crédit.
  • Nous n’utilisons pas les données utilisateur de Google pour entraîner des modèles d’IA/ML.

Nous envoyons, si nécessaire, des e-mails système et relatifs aux services (par exemple, invitations, informations importantes relatives à la sécurité) à l’adresse de contact que vous avez utilisée pour l’utilisation de l’application.

Si nous vous envoyons, en tant que client existant, des informations sur nos propres produits ou services similaires, cela se fait uniquement dans le cadre légalement autorisé (par exemple, § 7, paragraphe 3 UWG) et avec une possibilité d’opposition/de désinscription à tout moment. Ce faisant, nous n’utilisons que l’adresse e-mail comme adresse de contact ; les contenus/résultats des requêtes GA4/BigQuery ou les jetons OAuth ne sont pas utilisés à cette fin ou transmis aux services d’e-mail/marketing.

12.3 Google API Services User Data Policy – Limited Use

Notre utilisation et notre divulgation des informations que nous recevons des API Google sont conformes à la Google API Services User Data Policy, y compris les exigences relatives à la Limited Use.

13) Modifications de cette déclaration de confidentialité

Nous nous réservons le droit d’adapter cette déclaration de confidentialité afin de refléter les modifications juridiques, techniques ou organisationnelles.