Pourra-t-on continuer à utiliser l’outil Google Analytics ? C’est la question que se posent beaucoup de gestionnaires de sites depuis une décision prise par la Commission Nationale de l’Informatique et des Libertés (CNIL) le 10 février 2022. En effet, en analysant les informations à sa disposition, la CNIL est arrivée à la conclusion que l’outil Google Analytics, tel que paramétré par défaut, ne répondait pas aux normes établies par le Règlement Général sur la Protection des Données (RGPD). Elle a donc décidé de mettre en demeure un gestionnaire de site français qui utilisait cette technologie. Cette décision remet en question beaucoup de notions quant à l’obtention et l’analyse de données sur le trafic. Faisons le point dans cet article.
Retour sur la décision de la CNIL portant sur Google Analytics
Commençons donc par narrer les faits. Le 10 février 2022, la CNIL met en demeure un gestionnaire de site français. Cette décision est motivée d’abord par les nombreuses plaintes reçues de la part de l’association autrichienne None Of Your Business (NOYB) depuis 2020. Pour rappel, NOYB est dirigée par l’activiste Max Schrems.
Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union Européenne (UE) et les trois autres États de l’Espace Économique Européen (EEE). Ces plaintes vont à l’encontre de 101 entreprises européennes qui, selon l’association, ne respectaient pas du tout le RGPD. La CNIL s’est donc penchée sur ces cas.
À son tour, la CNIL a remis en cause l’utilisation de Google Analytics. Elle a constaté que « les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD ». Or, ce procédé est illégal puisqu’il ne permet pas d’anonymiser totalement les données. Il fait courir un risque aux personnes qui utilisent le site français. En effet :
- Google pourrait facilement retrouver l’identité des visiteurs. Il lui suffirait de recouper ces données avec d’autres informations à sa disposition ;
- Google n’offre pas assez de garanties sur la sécurisation des données une fois qu’elles sont transférées aux États-Unis.
Par ailleurs, l’arrêt « Schrems II » de la Cour de Justice de l’Union Européenne (CJUE) a clairement montré le risque que les services de renseignement américains accèdent aux données personnelles transférées si les transferts n’étaient pas correctement encadrés. Or, à l’heure actuelle, ces transferts ne le sont pas. Il était donc plus qu’urgent de prendre une décision.
Ainsi, à travers cette mise en demeure, la CNIL somme le gestionnaire de site de régulariser ses traitements avec le RGPD, « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ». À défaut, il peut avoir recours à un outil qui n’implique pas un transfert de données hors de l’UE. Le gestionnaire de site concerné dispose d’un mois pour se mettre en conformité.
Pour le moment, cette décision n’est assortie d’aucune sanction financière. Mais il n’en faut pas plus pour provoquer un véritable branle-bas de combat chez les sites qui utilisent également Google Analytics. Afin de mieux comprendre, intéressons-nous à la façon dont Google Analytics collecte les données.
Le RGPD et la collecte des données : comment ça marche ?
Pour commencer, Google Analytics est un outil que les gestionnaires de sites web intègrent à leur site. Il leur permet de mesurer le taux de trafic, c’est-à-dire la fréquence à laquelle les internautes visitent leur plateforme. Toutes ces données sont assez sensibles. Et c’est dans le but de protéger ces données sensibles que le RGPD est entré en vigueur en mai 2018.
Concrètement, le RGPD détermine la façon dont ces informations doivent être collectées et traitées. Par exemple, avec Google Analytics, les sites Internet doivent d’abord demander l’autorisation de leurs visiteurs avant de recueillir leurs données. Deux cas de figure sont alors possibles :
L’internaute refuse les cookies
Conformément au RGPD, l’internaute peut refuser de donner son consentement pour le dépôt de cookies par Google Analytics. Dans ce cas type, les solutions Analytics et publicitaires de Google continuent de fonctionner. Mais leur pouvoir reste très limité. Ils ne déposent pas de cookies.
L’internaute accepte les cookies
L’accord de l’internaute donne lieu au dépôt d’un cookie Google Analytics. Celui-ci joue deux rôles. Il peut mesurer l’audience du site ou personnaliser des campagnes publicitaires — notamment celles de Google Ads — selon les informations qu’il reçoit.
Dans le cadre du premier rôle, Google va recueillir l’adresse IP de l’internaute ; c’est une adresse unique et propre à l’appareil connecté. Aussi, Google collectera l’ID client, un identifiant qui permet de suivre le parcours individuel de navigation d’un internaute sur un site.
En combinant tous ces éléments, Google Analytics fournit aux gestionnaires de sites des informations stratégiques. Seulement, le fait que les données soient transférées aux États-Unis fait tache d’encre. Rien ne garantit en effet qu’elles ne tomberont pas entre de mauvaises mains.
La CNIL reste ferme sur sa position
Il faut souligner que la CNIL ne va pas foncièrement à l’encontre des services de mesure et d’analyse d’audience d’un site Internet. Loin de là ! Ce que recherche la Commission, c’est que ces outils soient exclusivement utilisés « pour produire des données statistiques anonymes, permettant ainsi une exception de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux ».
Effectivement, il existe des solutions de recueil d’informations qui ne nécessitent pas le consentement d’utilisateurs. Le gendarme français des données personnelles a d’ailleurs lancé un programme d’évaluation afin d’identifier ces solutions, dans le but probable de les promouvoir. Parallèlement, il a lancé d’autres procédures de mises en demeure à l’encontre de gestionnaires de sites qui utilisent également Google Analytics.
Allons-nous vers un effet domino ?
L’enquête de la CNIL et de ses pairs s’étend aussi à d’autres outils similaires à Google Analytics, dont se servent les sites et qui impliquent des transferts de données d’internautes européens vers les États-Unis. Or, si on se met dans le cadre, il est fort possible que cela déclenche un effet domino à long terme.
Si les décisions rendues sont bien une mise en demeure des gestionnaires des sites, cela signifie que c’est le géant Google qui est dans le viseur des organisations de protection des données. Il s’agit donc plus d’une invitation à se mettre en conformité. Google peut effectivement procéder aux modifications nécessaires pour satisfaire les exigences européennes.
Or, vous conviendrez que si l’on parvient à faire plier Google, il ne sera pas compliqué de faire plier Facebook. À l’heure actuelle, Facebook Connect, l’outil de Facebook qui permet d’utiliser son compte sur le réseau social pour se connecter sur un site tiers, est déjà visé par certaines plaintes de NOYB. Reste à voir si cela suffira.
Quelles solutions pour les propriétaires de site Internet ?
Pour éviter d’être affectés par d’éventuelles sanctions, les propriétaires de site Internet peuvent dès à présent songer à optimiser la conformité au RGPD de Google Analytics. Il y a plusieurs alternatives qui s’offrent à eux. Nous allons vous présenter trois d’entre elles.
Attendre la réaction prévue de Google
Actuellement, beaucoup d’entreprises attendent que le géant du net prenne lui-même l’initiative de se mettre en conformité avec le RGPD. Cela simplifierait effectivement beaucoup les choses. Parallèlement, elles espèrent aussi que les États-Unis et l’Europe s’entendent sur la question du transfert transatlantique des données.
Par exemple, cela pourrait commencer par l’hébergement des données recueillies par Google Analytics en Europe via une société européenne. On pourrait également accorder aux utilisateurs européens la possibilité de saisir la justice aux États-Unis en cas de problème. Ces mesures pourraient fonctionner.
Adapter soi-même Google Analytics
Si vous êtes familier de Google Analytics, le mieux serait de configurer votre outil de sorte qu’il soit respectueux des contraintes du RGPD. Certes, pour l’heure, il n’y a pas de solution idéale pour y parvenir. Mais nous avons pu identifier quelques pistes exploitables :
- Anonymiser les adresses IP avant leur stockage ;
- Réduire la durée de vie des cookies Google Analytics ;
- Signer un accord sur la protection des données (Data Protection Agreement) avec Google ;
- Baisser la collecte des données par les cookies Analytics ;
- Sécuriser les cookies Analytics grâce au consentement des visiteurs.
Ces pistes de réflexion ne sont pas simples à appliquer. En fait, elles correspondent à ceux qui, trop habitués à Google Analytics, ne veulent pas changer et sont prêts à mobiliser les moyens pour se mettre en conformité. Si vous n’en faites pas partie, vous pouvez toujours essayer des solutions de remplacement.
Se tourner vers d’autres outils
Il y a plusieurs solutions que vous pouvez utiliser en remplacement de Google Analytics. Comme nous l’avons évoqué, la CNIL s’est penchée sur le sujet et a d’ailleurs établi une liste d’outils de mesure d’audience qui respectaient le RGPD. On peut citer notamment :
- Abla Analytics ;
- Etracker Analytics;
- Analytics Suite Delta (développé par AT Internet) ;
- Plausible ;
- Fathom.
Vous pouvez explorer ces solutions afin de trouver celle qui vous correspond vraiment. Il est bien possible que ces outils ne soient pas aussi performants que Google Analytics — en tout cas, aux yeux de ceux qui ont utilisé cette fonctionnalité durant des années. Mais au moins, ils vous permettront de vous mettre en règle, le temps que Google prenne des mesures correctives pour se conformer aux normes européennes.
