Pour ce début d’année de 2022, la CNIL (Commission Nationale de l’Informatique et des Libertés) a annoncé une décision qui a eu un effet de feux d’artifice dans le monde du web : l’utilisation du service d’analyse d’audience d’un site Web, Google Analytics, enfreint l’article 44 et les articles le suivant du RGPD (Règlement Général sur la Protection des Données).
Cela est dû au transfert illégal des données des utilisateurs vers les Etats-Unis.
Dans cet article, nous allons essayer de décrypter cette actualité. Nous vous aiderons également à comprendre les différentes contraintes de cette nouvelle mesure. De plus, nous allons vous accompagner au mieux dans votre mise en conformité RGPD.
Sommaire
I. La CNIL : Google Analytics ne respecte pas le RGPD
II. Google Analytics : quelles sont les données personnelles concernées ?
III. Quelles sont les règles mises par la CNIL ?
IV. Quels impacts pour les sites Web utilisant Google Analytics ?
V. Quelles actions immédiates pouvez-vous mettre en place ?
VI. Quels sont les risques de continuer à utiliser Google Analytics ?
I. La CNIL : Google Analytics ne respecte pas le RGPD
Voilà que l’agence française de protection des données, la CNIL, a déclaré que l’utilisation de Google Analytics est illégale au regard du RGPD (Règlement Général sur la Protection des Données). De ce fait, elle a commencé à mettre en place des mises en demeure aux gestionnaires de site utilisant Google Analytics.
· Qu’est-ce Google Analytics ?
Et si pour commencer, on définissait qu’est-ce que Google Analytics. Pour ceux qui l’ignorent encore, Google Analytics est un outil du moteur de recherche Google utilisé par des milliers de sites web. Il a pour but d’analyser les audiences. Il faut dire que cet outil est indispensable pour bénéficier de certaines informations utiles comme le nombre de visiteurs, le nombre de pages vues, la provenance des visiteurs ou encore la durée moyenne des visites.
De ce fait, nous pouvons dire que Google Analytics permet de réaliser des statistiques concrètes et complètes sur l’audience d’un site internet, et ce, par le biais de cookies.
Il faut également savoir que cet outil sert à mesurer le ROI (retour sur investissement) des campagnes marketing. Il enregistre principalement deux types d’informations :
- Les données d’acquisition des clients et la provenance des utilisateurs
- Les données du comportement des utilisateurs sur le site (taux de rebond, taux de conversion, les pages visitées, etc.)
· Comment fonctionne Google Analytics ?
Pendant la navigation sur Internet, le navigateur stocke et rassemble les cookies déposés par les sites visités. Cela donne la possibilité aux sites web de « se rappeler » de l’utilisateur et de collecter, ainsi, toutes les données nécessaires sur son comportement. Cette collecte des données permet aux outils de web analytics de déterminer les internautes et de connaître leurs intérêts, et ce, dans le cadre d’une stratégie de contenu personnalisée.
Par le biais d’un code de suivi unique installé sur chaque page d’un site, Google Analytics rassemble ces données. Notons que ces différentes lignes de code s’introduisent directement dans le code du site. Cela permet d’enregistrer le comportement des internautes durant la visite ainsi que les informations les plus personnelles.
La gestion des cookies est strictement encadrée. Elle doit également répondre à certaines conditions afin d’être conforme au RGPD.
· La CNIL dénonce l’utilisation de Google Analytics
Même si Google accorde à chaque utilisateur un identifiant et anonyme à chaque visiteur, la CNIL estime que le moteur de recherche est en mesure de retrouver l’identité des utilisateurs, et ce, en recoupant les données dont le groupe est doté. De ce fait, il est à même de constituer une donnée personnelle.
A cet effet, comme nous l’avons vu, les données personnelles ainsi que l’identifiant des utilisateurs sont transmises par Google aux États-Unis. C’est cette transmission de données aux Etats-Unis que la CNIL dénonce. Il faut savoir que l’organisation de protection de la vie privée a transféré à la CNIL un grand nombre de plaintes afin d’obtenir une position sur la légalité de cet envoi des données vers les USA.
Dans ce cadre, nous trouvons l’article 44 du règlement général sur la protection des données. Le RGPD défend le transfert de données personnelles européennes vers un pays ne garantissant pas une protection équivalente à la réglementation du Vieux Continent.
Bien que Google ait instauré des mesures pour assurer la protection des transferts des données personnelles, la CNIL estime, ainsi, que les transmissions vers les États-Unis ne sont pas assez encadrées. De ce fait, le 10 février 2022, la Commission nationale de l’informatique et des libertés a jugé que ces transferts étaient illégaux.
II. Google Analytics : quelles sont les données personnelles concernées ?
Pour Google Analytics, les données personnelles ne se restreignent pas aux données « identifiantes » (le nom, le numéro de téléphone ou encore l’adresse e-mail). En effet, les données personnelles concernent également :
- Les données d’identification en ligne comme l’adresse IP, l’adresse MAC ou encore l’identifiant de cookie.
- L’historique de navigation
- Les informations permettant d’identifier l’utilisateur par le croisement des données (système d’exploitation, langue, le modèle de téléphone, etc.)
Photo crédit : wikimedia.org
III. Quelles sont les règles mises par la CNIL ?
Si vous êtes un gestionnaire de site web utilisant Google Analytics, vous devez savoir que la CNIL a interdit l’outil sans le consentement explicite de l’utilisateur. Pour bénéficier de l’exception du consentement, il faut :
- Avoir un but strictement limité à la seule mesure d’audience du site ou de l’application, et ce, pour le compte exclusif de l’éditeur
- L’utiliser uniquement pour produire des données statistiques anonymes
- Ne pas permettre le suivi de la navigation de la personne
- Ne pas permettre un recoupement des données avec d’autres traitements ou une transmission des données à des tiers.
Les mentions de « compte exclusif de l’éditeur » et les « transmissions des données à des tiers » rendent incompatible l’utilisation de Google Analytics. En effet, le moteur de recherche Google a tendance à réutiliser les données pour l’amélioration de ses services.
Ces différentes règles sont applicables autant aux éditeurs de sites qu’aux éditeurs des applications mobile en France.
Pour être conforme, vous devez installer une CMP (Consent Management Plateforme). Il s’agit d’un outil permettant de déployer une bannière cookie et de stocker les preuves de consentement utilisateurs pouvant être demandées en cas de contrôle.
IV. Quels impacts pour les sites Web utilisant Google Analytics ?
Non seulement la CNIL a dénoncé l’utilisation de Google Analytics, mais également plusieurs autres autorités européennes de protection de données. Ces différentes organisations, soutenues par des associations comme NOYB, ont ouvertement exprimé leur position concernant l’utilisation de cet outil de Google.
De ce fait, le message est clair ! Les gestionnaires de sites web doivent agir rapidement pour ne pas subir une sanction. Selon RGPD, en cas d’inaction, une amende peut être envisagée avec un montant s’élevant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de la société.
Si le moteur de recherche Google s’expose habituellement à des sanctions, cette fois-ci, ce sont les sites internet qui sont la cible des autorités européennes de protection des données. C’est une autre manière de forcer Google via ses « utilisateurs ».
V. Quelles actions immédiates pouvez-vous mettre en place ?
A la suite de la décision de la CNIL, les utilisateurs de Google Analytics sont appelés à prendre rapidement des mesures. Cela permet d’éviter tout risque de transmission de données personnelles aux États-Unis.
Cependant, jusqu’à aujourd’hui, Google ne fournit aucune réponse et aucune solution. La seule chose qui reste à faire est de changer d’outil de suivi des données de l’audience. L’idéal est d’opter pour un autre outil qui serait conforme à la RGPD selon la CNIL.
· Les alternatives possibles au Google Analytics
Toujours selon la CNIL, les outils d’analyse et de mesure d’audience d’un site internet doivent uniquement servir à produire des données statistiques, et ce, tout en les préservant anonymes. A l’heure actuelle, nous trouvons plusieurs outils qui peuvent remplir les missions de Google Analytics. Parmi ces outils, nous citons :
- Matomo
- Piwik Pro
- Seal Metrics
- Plausible Simple Analytics
- Umami
- PanelBear
- Etc.
VI. Quels sont les risques de continuer à utiliser Google Analytics ?
A l’heure actuelle, nous sommes face à plusieurs informations, parfois contradictoires concernant les mesures qui vont être prises par Google. Cependant, il est fort probable que le moteur de recherche s’incline rapidement et prend en compte, enfin, des plaintes effectuées. En effet, sa non-réponse peut causer la perte de milliers de sites utilisant leur solution Analytics. De ce fait, il devrait proposer de nouvelles solutions conformes à la réglementation RGPD.
Pour le moment, les propriétaires et les gestionnaires de sites internet étudient la décision de la CNIL et recherchent des alternatives.
VII. Quels impacts en cas de changement d’outil ?
Il faut dire qu’abandonner Google Analytics et passer à un autre outil va inévitablement impliquer :
- Une refonte totale ou partielle du plan de taggage (tracking) de votre site
- Une perte des données d’historique (présentes sur Google Analytics)
- Des coûts supplémentaires
Conclusion
La question qui se pose : est-ce que c’est la fin de Google Analytics ? La réponse est, bien évidemment, non. Cet outil demeure une solution efficace offrant plusieurs possibilités utiles à tout propriétaire de site internet. En attendant, il faut savoir que Google déclare vouloir annoncer prochainement de nouvelles mesures de conformité.