Le 10 février dernier, la CNIL a délivré une décision sommant un gestionnaire de site web français de se conformer au règlement général sur la protection des données (RGPD) et si nécessaire de cesser l'utilisation de Google Analytics.
Beaucoup de nos clients, partenaires et prospects s'interrogent sur les conséquences de cette décision (et d'autres, venant d'autorités de protection des données en Europe). C'est pourquoi nous nous sommes associés à Oncrawl, crawler SEO et analyseur de fichiers log pour les audits SEO, pour organiser un webinar sur le sujet et vous proposer des recommandations sur la marche à suivre.
Il vous a été présenté par Clément Hochedez, Senior SEO Manager chez Didomi, Thomas Adhumeau, Chief Privacy Officer chez Didomi et Jérôme Salomon, Senior SEO Strategist chez Oncrawl. Regardez l'enregistrement ici, et poursuivez votre lecture pour un récapitulatif des points à retenir.
Mise à jour Juin 2022 : La CNIL a publié le 7 juin 2022 des questions/réponses précisant les récentes mises en demeure concernant l'utilisation de Google Analytics. Nous vous invitons à consulter cette documentation sur le site de la CNIL afin de vous assurer de la conformité de votre utilisation de Google Analytics.
Les outils d’analyse web et la protection de la vie privée
Les outils d'analyse web (ou d’“analytics”) font partie intégrante de la boîte à outils de tout marketeur et jouent un rôle majeur pour les entreprises grâce aux données qu’ils permettent de collecter. Grâce à celles ci en effet, on peut :
- Comprendre les performances des sites et apps
- Analyser les tendances et la satisfaction des clients
- Réduire les coûts grâce à de nouvelles idées commerciales
Travailler avec une bonne pratique d'analyse fournit de précieuses informations permettant d'améliorer les produits et services pour les clients. Cependant, les réglementations du monde entier remettent en question l'utilisation de ces outils.
En Europe, ePrivacy et le RGPD ont eu un impact direct, car les outils d'analyse web s'appuient souvent (pas toujours) sur des cookies ou des trackers qui nécessitent le traitement d'informations personnelles. Au regard de la réglementation européenne, cela peut être illégal dans certaines conditions.
Aux États-Unis, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) adopte une approche un peu différente en exigeant des opérateurs de sites qu'ils ajoutent un bouton "Ne pas vendre mes données" sur leurs sites. Cette approche opt-out impacte directement les marketeurs et leur utilisation des outils d'analyse en limitant la possibilité de lancer des campagnes de retargeting.
Mais que s'est-il vraiment passé le 10 février concernant Google Analytics et la CNIL ?
Quel est le contexte de la décision qui impacte Google Analytics ?
Pour comprendre les récentes décisions qui ont touché Google Analytics, faisons un rapide retour sur une autre décision marquante : la décision Schrems II, prise par la cour de justice de l'Union européenne en juillet 2020.
Schrems II indiquait que le "Privacy Shield", dispositif rendant possibles et valides les transferts entre les États-Unis et l'UE, était invalide. Cette décision a eu des conséquences considérables et bloquait techniquement tout transfert de données entre l'UE et les États-Unis. La poursuite de ces transferts nécessiterait que les exportateurs et importateurs de données mettent en place des mesures supplémentaires, bien qu'elles ne soient pas explicitement définies.
Google a donc entrepris une mise en conformité de Google Analytics, jugée insuffisante par les autorités autrichiennes, danoises et françaises de protection des données (APD). Elles ont conclu que les transferts effectués entre l'UE et les États-Unis avec Google Analytics ne sont pas faits dans les règles.
Maintenant, que pouvez-vous faire en tant qu'utilisateur de Google Analytics ? Nous avons rassemblé quelques recommandations.
Avertissement : La décision française ne dit pas que Google Analytics est interdit, mais bien que l'utilisation actuelle de Google Analytics sur le site web en question n'est pas conforme aux principes clés du RGPD. Nuance importante.
Recommandations pour approcher la conformité
1. Envisager des alternatives
La première action recommandée par la CNIL dans son communiqué de presse est d'explorer la concurrence de Google Analytics. Vous trouverez une liste d’options réunies par nos soins plus bas.
La plupart des entreprises devraient analyser la possibilité d'une migration vers un autre outil. Durant ce processus, nous recommandons de tout documenter en cas d'audit par une APD.
Si vous décidez de continuer à utiliser Google Analytics, contactez votre account manager Google pour être conseillé : D'autres actions sont possibles immédiatement.
2. Utiliser la fonction d'anonymisation des adresses IP proposée par Google Analytics
Google Analytics offre la possibilité d'anonymiser les adresses IP. Nous recommandons vivement d'activer cette fonction, clairement encouragée dans la décision de l'APD autrichienne.
3. Configurer des contrôles de confidentialité supplémentaires
Google propose également une série de paramètres de confidentialité avancés que vous pouvez mettre en place pour limiter la collecte de données, désactiver les fonctions publicitaires ou même désactiver complètement la collecte de données.
Nous vous recommandons de vérifier votre utilisation de Google Analytics en interne et de décider si certaines ou toutes de ces mesures sont pertinentes pour votre entreprise.
4. Obtenir le consentement des utilisateurs pour l'utilisation de Google Analytics
Il s'agit d'une recommandation que vous devriez déjà avoir appliquée compte tenu des dernières indications des APD Européennes (par exemple, les recommandations de la CNIL sur les cookies). Si ce n'est pas le cas, clarifiez bien le consentement de vos utilisateurs pour l'utilisation de Google Analytics.
À la lumière de ces décisions, vous ne devriez plus vous appuyer sur l'intérêt légitime. Le consentement est par défaut toujours requis pour l'utilisation de Google Analytics dans sa configuration actuelle, et à moins que les données soient complètement anonymes.
5. Envisager de recueillir un consentement explicite pour le transfert vers les États-Unis.
Cette recommandation est extraite de l'article 49 du RGPD :
“En l'absence d'une décision d'adéquation (...) ou de garanties appropriées (...), un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers (...) ne peut avoir lieu (...) que si la personne concernée a explicitement consenti au transfert proposé, après avoir été informée des risques éventuels que représentent ces transferts pour la personne concernée."
Cette solution n'est pas idéale pour l'utilisateur. C'est donc une possibilité et non une recommandation pour le moment.
Note : Gardez en tête que ces décisions ont de profondes ramifications et ne concernent pas seulement Google Analytics. Tous les outils utilisés et proposés par les entreprises américaines pourraient être impactés de la même manière. Préparez-vous à devoir rester vigilant, d'autant que la CNIL à annoncé vouloir donner la priorité à l'application de la loi aux fournisseurs de cloud en 2022.
Quelles alternatives à Google Analytics ?
Bien qu'il soit encore difficile d'évaluer les conséquences de cette décision sur Google Analytics, nous avons rassemblé quelques alternatives non américaines, dont les données ne peuvent potentiellement (et théoriquement) pas être transférées aux États-Unis. Par souci de clarté, nous avons listé les pour, les contre, la fourchette de prix et le lieu d'hébergement des données pour chaque outil.
Notez que ces recommandations ne remplacent pas l’audit juridique que chaque entreprise devrait effectuer.
Piwik Pro
Piwik Pro est une solution utilisant les cookies avec une intégration similaire à celle de Google Analytics.
Gamme de prix : Plan “Core” gratuit (jusqu’à 500k actions par mois) / entreprise sur devis
Données hébergées en : UE (Elastix)
Siège social : Pologne, UE
Pour :
- Excellente interface utilisateur
- Pas d'échantillonnage de données
Contre :
- L'intégration avec d'autres outils peut s'avérer délicate.
- Moins d'options disponibles que Google Analytics
AT Internet
AT Internet est une société française acquise par Piano Software Inc. en 2021.
Gamme de prix : A partir de 355€/mois
Données hébergées en : UE (SFR & AWS)
Siège social : UE, France
Pour :
- Fonctions dédiées au e-commerce
Contre :
- Les avis en ligne indiquent que l'outil peut être difficile d'utilisation.
Fathom
Fathom est une solution sans cookie, ce qui évite les questions de consentement et de fiabilité des données puisqu'elle est uniquement basée sur les hits. Malheureusement, cela veut dire que vous ne pourrez pas suivre un certain nombre de métriques (pas de canaux, pas de sources, seulement des referrals.)
Gamme de prix : À partir de 14 $/mois (100 000 pages vues)
Données hébergées en : Allemagne (Hetzner)
Siège social : Canada
Pour :
- Pas de notice de consentement requise
- Script léger, chargement rapide.
- Données très générales
- Pas de suivi comportemental
Plausible
Autre solution sans cookie, Plausible est open-source et peut être hébergé sur vos propres serveurs.
Fourchette de prix : A partir de 9€/mois (10 000 pages vues)
Données hébergées en : Allemagne (Hetzner)
Siège social : Estonie
Pour :
- Aucune notice de consentement requise
- Script léger, chargement rapide.
- Open source
Contre :
- Analytics très générales
- Pas de suivi comportemental
Matomo
Matomo est la version open-source de Piwik Pro, avec trois biais d'intégration : sans cookie, avec cookie et tracking côté serveur.
Gamme de prix : Gratuit (hébergé sur votre propre serveur) / À partir de 13€ (sur le cloud)
Données hébergées en : UE (contrat avec AWS New Zealand)
Siège social : Nouvelle-Zélande
Pour :
- Beaucoup de statistiques
- Core Web vitals
- Pas d'échantillonnage de données
- Pas de notice de consentement requise (selon la configuration)
Contre :
- Pas d'intégration avec google Ads (pas de données PPC)
Remarque : Adobe Analytics et d'autres plateformes américaines sont des alternatives intéressantes, mais dans le contexte de cette décision et parce qu'elles sont basées aux États-Unis, nous avons décidé de ne pas les inclure.
Questions et Réponses (Q&R)
Pouvez-vous développer les conséquences de cette décision ?
Cette décision pourrait concerner un grand nombre d'industries différentes, à l'image de l'industrie Adtech qui a été impactée par la décision de l'APD belge concernant le TCF d'IAB Europe.
Par exemple, les solutions récemment développées en réponse au manque de données comme la publicité contextuelle pourraient également être touchées car les transferts se feront de la même manière et les adresses IP seront consultées.
Il est possible que ces décisions empêchent, dans une certaine mesure, la circulation des données entre les États-Unis et l'UE. Par conséquent, la plupart des outils et services que nous utilisons au quotidien ne seront plus adaptés au RGPD.
Pour être clairs, c’est un vrai bouleversement.
Connaît-on la réponse de Google concernant ce problème particulier avec le site e-commerce incriminé ?
Google a partagé une réponse intéressante.
Dans une certaine mesure, Google montre un désaccord avec cette décision. La meilleure solution pour faciliter le travail de tous serait donc que les États-Unis et l'UE s’accordent sur les modalités de transferts de données. Mais pour les États-Unis, cela implique de revenir sur certaines de leurs lois en matière de surveillance. Compliqué donc, mais cela permettrait d’éviter bien des problèmes de conformité.
Google semble faire pression dans ce sens, en participant aux négociations tout en travaillant sur des fonctionnalités et contrôles supplémentaires pour ses clients.
Comment calculer le taux de consentement actuel de votre site ?
Vous pouvez facilement le calculer avec une Consent Management Platform (CMP).
Une des autorités de régulation a-t-elle imposé une durée de conservation limitée pour les fichiers de log ?
À notre connaissance, il n'y a pas de directives à ce sujet. C'est à chaque propriétaire de site qu'il revient d'évaluer la situation, en surveillant la pertinence avec activités de traitement qui ont lieu. Par exemple, cinq ans représentent une période exagérément longue et un jour semble insuffisant.
Le principal critère reste de savoir si vous êtes en mesure d'identifier quelqu'un à l'aide des informations dont vous disposez. Si oui, cela signifie qu'elles peuvent être considérées comme personnelles.
Oncrawl anonymise les données dans les fichiers de logs par exemple, pour s'assurer qu'ils sont conformes au RGPD.
Le e-commerce doit-il penser à une nouvelle façon de collecter le consentement pour le tracking ? Par exemple en demandant de créer un compte et de se connecter pour utiliser le site ?
La question n'est pas tant de savoir comment vous collectez les données que comment vous les partagez. Dans un environnement avec login, il est plus facile de collecter des données de manière conforme. En revanche, si vous deviez les partager, retour à la case départ.
Des outils comme Mixpanel et Amplitude ne se basent pas sur les cookies mais sur les identifiants des utilisateurs. Peut-il s'agir d'une alternative à Google Analytics ?
Même s'il y a un mieux apporté par l'absence de cookies, cela ne résout pas le problème du transfert des données aux États-Unis. Dans ce cas, les ID utilisateurs permettraient à quiconque d'isoler ou d'identifier un utilisateur, et seraient donc considérés comme des informations personnelles.
Une intégration côté serveur et un cryptage des données (ou autre moyen d'anonymisation) avant le partage avec Google permet-il la conformité ?
Voilà le principal problème : Google possède tellement de données au-delà de Google Analytics que les APD craignent le tracking multiple des utilisateurs à travers tous ces services.
Le retraitement des données avant leur partage afin que Google ne soit pas en mesure de les relier à d'autres données déjà en banque pourrait probablement les rendre conformes. À voir.
Le stockage par des sociétés européennes ne résout pas tout
Le fait de stocker les informations en UE n'est pas une solution si vous travaillez avec des entreprises américaines de qui le gouvernement peut exiger un partage de données. Conclusion, même si les données sont stockées dans l'UE, le risque de transfert existe et peut poser problème.
Pour en savoir plus sur Didomi, réservez une démo avec l'un de nos experts :
{{request-a-demo}}