Menu
Blog Web & Mobile

Google Analytics désormais dans l’illégalité selon la CNIL ? Comprenez pourquoi et découvrez les alternatives conformes au RGPD

Google Analytics illegal

Coup de tonnerre pour les professionnels du web (agences digitales, responsables marketing et gestionnaires de sites) !

Jeudi 10 février, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié un communiqué informant de la mise en demeure du gestionnaire d’un site Web français – dont le nom n’a pas été dévoilé même si  les sites concernés sont vraisemblablement Decathlon France SA, Auchan E-commerce France et Sephora SAS – du fait de son usage de Google Analytics nom conforme au Règlement Général sur la Protection des Données Personnelles Européens (RGPD)

« La CNIL, (institution chargée de la protection des données personnelles en France), constate que les données des internautes [collectées par cet outil omniprésent utilisé par des centaines de millions de sites Web pour mesurer leur audience et le comportement des internautes] sont transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD [règlement général sur la protection des données européen]”. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité. »

La CNIL reconnait pour autant les efforts de Google pour encadrer le transfert de données, mais considère que ces dispositifs ne permettent pas d’exclure « la possibilité d’accès des services de renseignements américains à ces données ».

Pour le “gendarme français des données personnelles”, le problème vient de cet identifiant unique et les données qui lui sont associées. Cette donnée personnelle est directement transférée par Google aux États-Unis, pays qui n’offre pas une protection comparable au RGPD européen.

Comme le précise cet article du journal Le Monde c’est une décision qui risque de faire date dans la protection des données personnelles des internautes français, et qui n’est pas sans conséquence pour les professionnels du Web, notamment pour les agences web et surtout leurs clients !

Rappelons si besoin que Google Analytics est l’outil de mesure d’audience le plus utilisé en France et dans le monde, et ce sur la grande majorité des sites internet (plus de 70% de parts de marché dans le monde tout de même !). Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Il est à ce jour utilisé par des millions de sites…

Interface Google Analytics

Quelles conséquences au niveau français ? 

Dans son rapport, “La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment … La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.”

Les sites concernés par la mise en demeure de la CNIL dispose de 30 jours pour se mettre en conformité, à savoir cesser d’utiliser la solution Google Analytics.


 

Ne plus utiliser Google Analytics … Et donc, que faire ?

Il est probable que derrière cette décision se cache surtout la volonté de la CNIL de faire réagir Google, déjà condamnée 31 décembre 2021 pour un montant total de 150 millions d’euros parce qu’il n’est pas permis aux utilisateurs de google.fr et de youtube.com de refuser les cookies aussi facilement que de les accepter. “Une paille” pour Google nous direz-vous :) Si les décisions rendues sont une mise en demeure des propriétaires de sites, c’est Google qui est bel et bien dans le viseur des régulateurs. «Cela sert de grand avertissement pour que la plateforme se mette d’elle-même en conformité»

La firme californienne va donc devoir prendre rapidement des mesures pour se soumettre aux réglementations européennes. Dans le cas contraire, il existe un risque pour Google de voir son outil Analytics devenir persona non grata en Europe. 

C’est ce que laisse entendre ce communiqué de Google du 4 février dernier (“Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourront ainsi continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir. “).

images creations rgpd

Si vous êtes DPO ou web analyste de votre entreprise vous êtes déjà informé. Dans le cas contraire, si vous utilisez Google Analytics, vous pourriez estimer que cette décision n’a pas (encore) d’impact sur votre site, puisque vous n’avez pas reçu de mise en demeure. Mais cela ne veut pas dire que pour autant que l’usage de Google Analytics sur votre site est légal à ce jour. Si une personne physique ou morale porte plainte auprès de la CNIL, vous vous retrouviez dans la même situation que les entreprises visées ces actions. Vous auriez alors 30 jours pour agir.

Dans l’intervalle que doivent faire les gestionnaire de sites ?  Première solution, prendre le risque et attendre que Google se mette en conformité avec le RGPD au niveau européen comme nous l’indiquions plus haut dans cet article. Deuxième solution, supprimer la solution Google Analytics et se priver de solution de mesure d’audience sur leur site – ce qui n’est pas sérieusement envisageable – ou installer une solution de mesure d’audience alternative (nous entendons déjà certains responsables digitaux hurler en lisant ces lignes !).

Autre possibilité, installer une solution alternative à Google Analytics, et se priver des nombreux avantages de la solution Google Analytics et de son écosystème.

Disons-le clairement, ces “solutions analytiques” sont de notre point de vue loin d’égaler Google Analytics. Mais à chacun de se faire son avis, mais nous ne lancerons pas le débat :)

Mais quelles sont les solutions de mesure de trafic alternatives à Google ?

Quelles sont les solutions de mesure de trafic alternatives à Google ?

Bonne et mauvaise nouvelle, il en existe un grand nombre ! Afin de ne pas être plus “royaliste que le roi”, vous trouverez ci-après quelques solutions alternatives à Google Analytics publiées sur le site de la CNIL, c’est déjà un bon début (et bien que notre Agence Web existe depuis plus de 27 ans, disons-le clairement, certaines nous sont totalement inconnues !) :  


Même si nous avons le nôtre, chaque responsable de marketing digital ou webmaster pourra se faire son propre avis sur ces solutions “Analytics”, leurs fonctionnalités et leurs coûts (Google Analytics lui est “gratuit”), leurs modes de tarification.

Ces solutions sont en général proposées en mode cloud ou auto-hébergées. Il nous semble important a minima dans le cas d’une bascule d’un outil à un autre, que la nouvelle solution permette l’importation des données antérieures collectées par Google Analytics pour garder vos précieuses données et permettre la traçabilité de la mesure.

Bien entendu, comme nous l’évoquions plus haut en cas de réception d’une mise en demeure de la CNIL, il faudra a minima intervenir dans les 30 jours !

Il appartient bien entendu à chaque DPO ou dirigeant de pendre sa décision. Dans l’intervalle, si vous vous interrogez et si vous avez besoin de conseils et d’y voir plus clair, le plus simple est peut-être d’en parler ?