DataDossier

Google Analytics & RGPD : la CNIL donne le ton !

Date de publication : 15 février 2022

Temps de lecture : 10 min.

Niveau : Débutant

L'Agence française de protection des données, la Commission nationale de l'informatique et des libertés (CNIL), a conclu que l'utilisation de Google Analytics est illégale en vertu de la règlementation RGPD.

Rappel des faits initiateurs de la décision de la CNIL

Depuis plusieurs mois, l’association militante noyb fondée par Max Schrems (indépendante à but non lucratif) tente de faire valoir les droits des internautes en focalisant son combat sur le respect et la confidentialité de leurs données personnelles. En déposant des centaines de plaintes en provenance de plusieurs pays auprès des autorités compétentes (dont la CNIL), l’association cherche à limiter au maximum les pratiques abusives et trompeuses en matière de cookies.

Au-delà de la simple possibilité d’accepter ou de refuser les cookies (via un bandeau de recueil des consentements), l’association met également en exergue le partage des données via les cookies tiers et le transfert des données personnelles vers des pays ne garantissant pas une totale protection de ces données.

Depuis l’invalidation du Privacy Shield par la Cour de justice de l’UE (un accord entre l’Union Européenne et les États-Unis qui permettait le transfert de données à des entreprises américaines certifiées) la CNIL et d’autres autorités européennes ont reçu de nombreuses plaintes concernant les transferts de données collectées lors des visites de sites Web utilisant Google Analytics.

A propos de la décision de la CNIL

Deux semaines seulement après l’autorité autrichienne de protection des données, la CNIL confirme que l’utilisation de Google Analytics par un site Web n’est pas conforme à la RGPD. En effet, cette utilisation enfreint l’article 44 de la règlementation qui interdit le transfert de données personnelles en dehors de l’Union Européenne, sauf si le pays destinataire peut prouver une protection adéquate des données, ce qui n’est malheureusement pas encore le cas actuellement.

Voir la communication de Google au sujet de la décision de l’autorité autrichienne de protection des données

A l’heure actuelle, la décision de la CNIL ne fait pas mention (à notre connaissance) d’une amende pour la violation de la règlementation RGPD mais d’une mise en demeure adressée au responsable d’un site Internet de se conformer au RGPD dans un délai de 30 jours et, le cas échéant, de cesser d’utiliser Google Analytics dans les conditions actuelles.

RGPD

Rappel de l’article 44 du Règlement Européen de Protection des données : Principe général applicable aux transferts

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. 

Source : https://www.cnil.fr/

Quelles sont les données personnelles concernées ?

Pour rappel, les données personnelles ne se limitent pas directement à des données « identifiantes » telles que l’adresse e-mail, le nom, le numéro de téléphone, mais concernent également :

  • les données d’identification en ligne (adresse IP, Identifiant de cookie, adresse MAC, …),
  • l’historique de navigation,
  • ou même toutes informations permettant l’identification d’un individu par le croisement des données : modèle de téléphone, système d’exploitation, langue, …)

À lire aussi :

Data

Comment connecter Matomo et Looker Studio ?

Quels impacts pour les sites Web utilisant Google Analytics ?

La CNIL et les autres autorités européennes de protection des données ont clairement exprimé leurs positions concernant l’utilisation de Google Analytics et ne semblent pas enclins à changer de cap ou à fermer les yeux, soutenues par des associations telles que noyb. Le message est clair et le temps de l’action est venu !

En cas d’inaction de la part des gestionnaires de sites Internet cela pourrait probablement entraîner des amendes qui, en vertu de la règlementation RGPD, pourraient s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de la société, selon le montant le plus élevé.

Si Google s’expose à certaines sanctions (devenues habituelles), c’est bien les sites Internet eux-mêmes qui sont ciblés par les autorités européennes de protection des données en tant qu’utilisateurs d’une solution jugée non conforme à la RGPD. Un moyen de mettre la pression à Google par le biais de ses “utilisateurs” alors que les sanctions financières ne semblent pas être assez efficaces ? A méditer !

Quelles actions immédiates pouvez-vous mettre en place ?

Suite à la décision de la CNIL qui pourrait rapidement faire jurisprudence, les utilisateurs de Google Analytics sont invités à prendre rapidement des mesures pour éliminer tout risque de transfert de données personnelles aux États-Unis. Sans réponse et sans solution de la part de Google, une autre alternative consistera à changer d’outil de suivi des données d’audience en se dirigeant vers l’un de ceux considérés comme conformes à la RGPD selon la CNIL, et donc à abandonner Google Analytics …

Attention, dans les grandes lignes des décisions prises par les autorités, Google n’est pas tenu pour responsable et se sont donc les gestionnaires de sites utilisant Google Analytics qui sont invités à se mettre en conformité à la RGPD en ayant recours à un outil de suivi des données d’audience conforme à la règlementation RGPD.

Existe-t-il d’autres outils d’analyse et de suivi des audiences conformes à la réglementation RGPD ?

Selon la CNIL :

« Les outils de mesure et d’analyse d’audience d’un site Web doivent servir uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux »

A l’heure actuelle, il existe plusieurs outils autres que Google Analytics pouvant être hébergés en Europe ou être auto-hébergés, ayant chacun leurs points forts / faibles qu’il est indispensable d’analyser pour prendre les bonnes décisions.

Voici une liste non-exhaustive des alternatives conformes à la RGPD :

  • Matomo
  • Piwik Pro
  • Seal Metrics
  • Plausible
  • Simple Analytics

La quasi-totalité de ces solutions proposent des « plans »  gratuits mais généralement non suffisants pour tous les besoins (que ce soit en termes de volumétrie de sessions / visites, de fonctionnalités mais également de nombre d’utilisateurs). Il est donc indispensable (et nous vous le conseillons) de prévoir un budget complémentaire pour pouvoir bénéficier d’outils en adéquation avec vos besoins et vos objectifs (de quelques centaines à plusieurs milliers d’euros par an).

Attention : plusieurs outils peuvent également nécessiter des compétences techniques importantes dans le cadre de leurs intégrations et potentiellement de leurs utilisations . Renseignez-vous bien sur vos capacités techniques et sur les supports proposés par ces solutions avant de choisir !

Celui que nous mettons en avant chez SLAP digital est Matomo.

L’avantage de Matomo réside dans son mode de fonctionnement, sa tarification raisonnable et le fait que l‘outil soit 100% français et propose un hébergement des données utilisateurs en France, répondant parfaitement aux exigences de l’article 44 du Règlement Européen de Protection des données. Matomo dispose également d’une suite d’outils annexes dont le Tag Manager, utile à la gestion des tags de suivi.

matomo

Source : https://fr.matomo.org/

Quels sont les risques de continuer à utiliser Google Analytics ?

A l’heure actuelle nous recevons beaucoup d’informations, parfois contradictoires mais il y a fort à parier que Google va, soit devoir s’adapter rapidement en agissant en amont de la perte de milliers de sites utilisant leur solution Analytics, soit proposer de nouvelles solutions 100% conformes à la règlementation RGPD.

A long terme, Google ne disposera que de deux options :

  • Soit les Etats-Unis mettent en place des solutions permettant d’assurer une protection jugée suffisante des données en provenance de l’UE,
  • Soit il héberge les données étrangères en dehors des Etats-Unis, dans l’Union Européenne, voire dans les pays disposant d’une règlementation spécifique.

A l’instant T, le monde du Web digère la décision de la CNIL et s’affaire à étudier les solutions et des alternatives…

Pour le moment, notre recommandation n’est pas encore de tout modifier mais plutôt d’analyser et d’envisager des solutions alternatives à court ou moyen terme en fonction :

  • des décisions à venir de la CNIL et de leur communication à ce sujet,
  • des avancées et des propositions de Google en réponse à ces récentes décisions

Quels impacts en cas de changement d’outil (abandon de Google Analytics) ?

Sans rentrer dans les détails de l’ensemble des outils (un article sera prochainement dédié à cette analyse comparative), passer de Google Analytics à une autre solution impliquera :

  • Une refonte partielle ou totale de l’ensemble du plan de taggage de votre site,
  • Une perte des données d’historique (qui sont actuellement sur Google Analytics) même si certaines solutions pourraient prochainement être amenées à pouvoir récupérer une petite partie de ces données,
  • Des coûts supplémentaires. Là où Google propose une version gratuite d’Analytics assez complète, la majorité des solutions alternatives nécessitent un certain budget. Non pas qu’elles ne proposent pas de « plans » gratuits mais qu’ils ne sont généralement pas suffisants pour une utilisation optimale,
  • Pour les annonceurs ayant des campagnes sur Google Ads, la liaison avec Google Analytics était native, ce qui ne sera pas le cas (encore) avec les outils alternatifs… il sera donc nécessaire de revoir tout le paramétrage du Tracking sur Google Ads et de passer par des conventions d’écritures de suivi des URL propres à ces outils (UTM / MTM / …)

D’autres adaptations seront également nécessaires mais nous avons fait le choix de nous concentrer sur les plus importantes et les plus contraignantes.

Pour aller plus loin : les alternatives aux cookies tiers selon la CNIL

Bien qu’ils ne soient pas le sujet de la décision de la CNIL concernant Google Analytics, un autre changement est d’actualité : la fin des cookies tiers.

Epinglés par les autorités européennes dont la CNIL dans cette démarche de protection des données personnelles des utilisateurs, la méthode de collecte et de transfert des données basée sur l’exploitation des cookies tiers vit ses dernières heures avec leur fin annoncée par Google d’ici 2023 dans le cadre du ciblage publicitaire (et déjà largement amorcée par d’autres régies publicitaires, navigateurs et autres solutions).

Plusieurs alternatives aux cookies tiers sont étudiées voire déjà proposées par certains outils.
Voici un récapitulatif de ces alternatives et le dernier avis de la CNIL les concernant :

cnil-cookies-tiers

Source : https://www.iabfrance.com/

Cookie first (party) 

Un cookie first party est créé et stocké par le site Web visité par l’utilisateur. Il permet aux gestionnaires de site web de collecter des données analytiques, de mémoriser les paramètres de langue et d’exécuter d’autres fonctions utiles qui contribuent à offrir une meilleure expérience utilisateur.

Fingerprinting

Le fingerprinting (ou prise d’empreinte en français) est une technique visant à identifier un utilisateur de façon unique sur un site web (ou une application mobile) en collectant par le biais navigateur d’un certain nombre d’informations sur l’appareil d’un internaute pour constituer une « empreinte ».

SSO (Single Sign-on)

Le SSO (Single Sign-on) est une fonctionnalité d’authentification unique de session et d’utilisateur qui permet d’utiliser un ensemble d’informations d’identification (nom et mot de passe par exemple) pour accéder à plusieurs applications.

ID unique

L’identifiant unique est un système permettant d’associer de manière sûre et invariante le lien entre un utilisateur et les informations qui lui sont associées. L’identifiant unique (UID ou Unique Identifier en anglais) est une chaîne numérique ou alphanumérique est également utilisé à des fins de sécurité et de connexion.

Cohorte anonymisée

La cohorte anonymisée est une méthode visant à regrouper des données utilisateurs sous forme de groupes et non plus individuelles en fonction de critères précis. Ces cohortes permettent d’anonymiser l’identification des individus en se basant sur des analyses groupées. Ces cohortes anonymisées sont actuellement testées par Google dans le cadre du suivi sans cookies (méthode FLoC qui a été abandonnée et nouvelle méthode Topics en cours de test)

Et maintenant ?

Suivi de près par les autorités européennes de protection des données personnelles et soutenues par des associations puissantes prêtes à dénoncer les pratiques abusives, Google se heurte à une volonté grandissante de l’Europe d’agir et de ne plus laisser faire !

Malgré quelques pistes évoquées par la firme américaine, cela ne semble pas suffisant et les autorités accélèrent le processus en actant des décisions à titre d’exemples, mettant ainsi la pression à la fois sur Google mais également sur les gestionnaires de sites Web utilisant des solutions / outils partageant ou transférant des données personnelles hors de l’UE sans justifier d’une protection suffisante.

Le virage est amorcé et la surveillance s’accentue …

Face à ces nouvelles décisions et cette volonté croissante de protection des données personnelles de la part de l’UE, une action / adaptation de la part de Google est attendue mais aussi de la part des sites Web qui devront, si la situation ne change pas, envisager dans un futur proche de changer leurs outils de collecte et d’analyse des données d’audience.

Un conseil : ne prenez pas de décisions hâtives, suivez les actualités et commencez à envisager des solutions alternatives … en attendant la réponse de Google !

Vous utilisez Google Analytics et vous vous posez des questions ?

Notre équipe se tient à votre disposition pour vous répondre et vous accompagnez dans votre réflexion stratégique.

Découvrez nos prestations

Téléchargez nos livres blancs

Découvrez nos livres blancs spécialisés sur les divers thèmes du marketing digital et téléchargez les gratuitement.

Nos livres blancs

Besoin d'un coup de main ?

Vous souhaitez nous faire part de vos projets ou de vos besoins d’accompagnement ?

N’hésitez pas à nous contacter par téléphone au 01 85 08 03 49 ou à remplir le formulaire. Nous vous contacterons rapidement pour en savoir plus. Venez nous challenger, nous en ferons autant !

Contactez-nous

Merci, votre message a bien été envoyé !