Pourra-t-on encore utiliser Google Analytics ? C’est la question que se posent aujourd’hui de nombreux gestionnaires de site après la décision de la CNIL le 10 février 2022. En effet, la Commission nationale de l’informatique et des libertés a jugé que Google Analytics, tel que paramétré par défaut, ne répondait pas aux exigences du Règlement général sur la protection des données (RGPD).
Conséquence : de très nombreux propriétaires de sites cherchent aujourd’hui une solution alternative à l’outil Google.
Comme eux, vous avez peut-être installé Google Analytics pour obtenir des données sur votre trafic et vous vous demandez sans doute comment faire pour vous mettre en conformité avec le RGPD.
Voici quelques pistes et solutions que nous pouvons vous proposer pour suivre les données de trafic de vos contenus.
Comprendre la décision de la CNIL sur Google Analytics
Retour sur les faits. Le 10 février 2022, la CNIL met en demeure un gestionnaire de site de se mettre en conformité avec le RGPD. En cause, l’utilisation de Google Analytics et, tout particulièrement, le transfert des données vers les Etats-Unis.
“La CNIL constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité…”
En effet, même avec le consentement des internautes via les cookies Analytics, la CNIL juge que l’outil ne permet pas d’anonymiser totalement les données.
Au regard du RGPD, cela constitue un problème car :
- Google serait en mesure de retrouver l’identité des visiteurs en recoupant ces données avec d’autres informations dont il dispose.
- La CNIL estime que Google ne donne pas assez de garanties sur la sécurisation des données une fois que ces dernières sont transférées aux Etats-Unis.
L’origine de cette décision de la CNIL provient d’une action de l’ONG autrichienne NOYB dirigée par l’activiste Max Schrems. En 2020, celle-ci avait porté plainte à l’encontre de 101 entreprises européennes qui, selon elle, ne respectaient pas le RGPD et l’arrêt “Schrems II”.
L’autorité autrichienne de protection des données a ainsi jugé, en janvier, que Google Analytics violait bel et bien le règlement européen, suivi de près par la CNIL. Des décisions qui pourraient être suivies par d’autres autorités européennes de contrôle.
En conséquence, les sites concernés par ces décisions ont un mois pour se mettre en conformité et abandonner Google Analytics. Néanmoins, pour le moment, aucune sanction financière n’a été prise à l’encontre des sites concernés.
Google a également réagi dans un communiqué, informant que l’entreprise allait mettre à disposition de nouveaux outils.
Collecte des données et RGPD, comment ça marche ?
Entré en vigueur en mai 2018, le Règlement général sur la protection des données ou RGPD a pour objectif de protéger les données personnelles et sensibles des utilisateurs d’internet.
Avec Google Analytics, par exemple, les sites doivent demander le consentement de leurs visiteurs sur le recueil de leurs données. Il existe ainsi deux principaux cas de figure.
➔ L’internaute ne donne pas son consentement pour dépôt de cookies Analytics.
Les solutions Analytics et publicitaires de Google continuent de fonctionner mais d’une façon plus limitée et sans déposer de cookies.
➔ L’internaute donne son consentement
Cela entraîne le dépôt d’un cookie Google Analytics qui va permettre de :
- mesurer l’audience du site,
- personnaliser des campagnes publicitaires (ex. Google Ads).
Les données collectées par Google pour mesurer l’audience sont les suivantes :
- l’adresse IP : une adresse unique, propre à l’appareil connecté.
- le client id (identifiant permettant de suivre un parcours individuel de navigation sur votre site UA-XXXXX-X).
A noter que certaines solutions de recueil des informations ne nécessitent pas le consentement des utilisateurs si les données recueillies sont parfaitement anonymisées.
Un cookie est un petit fichier texte, enregistré par le navigateur internet d’un utilisateur lorsqu’il visite un site web.
Il existe deux types de cookies :
Les cookies propriétaires ou internes. Hébergés par le serveur du site internet visité, ils permettent, entre autres, d’améliorer l’expérience utilisateur en conservant un certain nombre d’informations sur le visiteur : préférence de langue, identifiant de connexion, pages consultées, contenu d’un panier, etc.
Ils peuvent également être utilisés à des fins publicitaires.
Les cookies tiers. Ils sont hébergés par un domaine différent de celui du site visité. Ils permettent à de tierces applications de voir quelles pages ont été consultées et de collecter un certain nombre de données sur l’utilisateur. Ils sont très utilisés pour le ciblage des publicités. Google a d’ailleurs annoncé la fin de ce type de cookies pour 2023.
Google Analytics et RGPD : comment réagir ?
Face à cette situation, plusieurs solutions s’offrent à vous pour optimiser la conformité RGPD de Google Analytics.
Solution 1 : attendre…
Beaucoup d’entreprises attendent, en effet, que Google se mette en conformité avec le RGPD au niveau européen mais aussi que les Etats-Unis et l’Europe se mettent d’accord sur un assouplissement de la loi. Cela pourrait passer, par exemple, par l’hébergement des données de Google Analytics en Europe, via une société européenne.
Solution 2 : adapter Google Analytics
Si vous êtes à l’aise sur Google Analytics, vous pouvez également configurer Google Analytics pour le rendre plus respectueux des exigences du RGPD.
Il n’y a pas encore de solution confirmée pour garantir la conformité de Google Analytics aux exigences du RGPD.
Cependant, selon nos recherches, il existe plusieurs pistes et hypothèses pour rendre Google Analytics plus respectueux des exigences du RGPD.
Cela peut passer par :
- L’anonymisation des adresse IP avant stockage,
- La réduction de la durée de vie des cookies Google Analytics,
- La signature d’un accord de protection des données (Data Protection Agreement) avec Google,
- La sécurisation des cookies Google Analytics grâce au consentement des visiteurs,
- Réduire la collecte des données par les cookies GA,
- etc.
Ces recommandations ne sont, pour le moment, pas très simples à appliquer et demandent beaucoup d’efforts. C’est pourquoi il serait peut-être plus judicieux de se tourner vers une solution complémentaire.
Solution 3 : opter pour des solutions alternatives
Pas de panique, il existe aussi de nombreuses alternatives en complément de Google Analytics.
La CNIL fournit, par exemple, une liste de solutions respectueuses du RGPD. En voici quelques-unes :
Noms | Caractéristiques principales |
Analytics Suite Delta développé par AT Internet | Recommandé par la CNIL. Tarification sur demande en rapport avec le volume de pages web. Un connecteur Semji a été développé pour pouvoir remonter toutes les données de votre site. |
Abla Analytics | Gratuit en dessous de 5 000 pages vues par mois (voir la grille tarifaire). Cette solution fait partie de la liste officielle de la CNIL. |
Matomo autohébergement | Gratuit en open source. L’outil est disponible en auto-hébergement qui permet d’être propriétaire de ses données. Cette solution fait partie de la liste officielle de la CNIL. |
Etracker Analytics | Gratuit en dessous de 25 000 pages vues par mois. |
Fathom | Entreprise canadienne qui respecte le RGPD et effectue le stockage et le traitement des données européennes en Allemagne. |
Plausible | Pas de cookies. Hébergement en Europe. |
Le positionnement de Semji
De notre côté, nous avons choisi d’attendre de voir si les négociations entre Google et la CNIL vont aboutir à un accord.
Quelle que soit l’alternative choisie, nous pouvons assurer la continuité de vos données de suivi. Nous bénéficions aujourd’hui d’un connecteur avec AT Internet. Mais il est parfaitement possible de développer des connexions pour d’autres solutions analytics.
N’hésitez pas à nous contacter pour échanger sur la solution analytics que vous avez adoptée. En attendant, vous pouvez tester Semji gratuitement pour maximiser le ROI de vos contenus !