Google Analytics 3&4, est-il conforme au RGPD ? [UPDATED]

Google Analytics est de loin l’outil d’analyse le plus répandu sur le marché. Et pour cause. Cette solution gratuite vous permet d’analyser le trafic du site Web ainsi que de recueillir des données précieuses sur le comportement des utilisateurs. 

Or, en même temps, la politique de collecte et de traitement des données adoptée par Google Analytics ne cesse pas d’inquiéter les entreprises et les régulateurs soucieux de la confidentialité. 

Les autorités de protection des données (APD) autrichiennes, françaises, italiennes, norvégiennes et suédoises ont récemment déclaré l’outil comme étant illégale en vertu du Règlement général sur la protection des données (RGPD). La société mère de Google Analytics – Google LLC – a également écopé d’amendes atteignant des millions de dollars, infligées par plusieurs autorités européennes de protection des données, y compris la CNIL française, ainsi que les autorités suédoises (IMY) et belges.

Le nouveau cadre de confidentialité des données UE-États-Unis semble résoudre les problèmes juridiques liés aux transferts de données réalisés par Google Analytics. De nombreux experts de la protection de la vie privée se demandent, toutefois, si le cadre assurera une protection suffisante aux résidents de l’UE et résistera à une plainte potentielle devant la Cour de justice de l’Union européenne (CJUE).

Ce n’est qu’une de nombreuses raisons pour renoncer à Google Analytics et rendre votre collecte de données plus pérenne, efficace et respectueuse de la vie privée.
Continuez la lecture pour en apprendre plus sur les problèmes sous-jacents de confidentialité chez Google Analytics et les conséquences que ceux-ci pourraient avoir sur les entreprises traitant les données des résidents de l’UE.

Table of contents

1. Google Analytics, RGPD et cadres de transfert des données UE-États-Unis
2. La sphère de sécurité et ses principes de confidentialité – aperçu et raisons d’échec
3. Suppression du bouclier de protection des données et ses conséquences sur les entreprises utilisant Google Analytics
   1. Bouclier de protection des données : conséquences pour les utilisateurs de Google Analytics
4. Nouveau cadre de confidentialité des données UE-États-Unis, rend-il Google Analytics 4 conforme au RGPD ?
   1. Les problèmes avec le cadre de confidentialité des données UE-États-Unis
   2. L’absence de changements substantiels dans la loi FISA 702 et le décret EO 12.333
   3. Les options de plainte insuffisantes pour les résidents de l’UE
5. Google Analytics et conformité au RGPD : autres problèmes non-résolus
   1. Google utilise les données des visiteur à ses propres fins
   2. Google Analytics n’a pas de cadre de consentement fiable
   3. Mode Consentement Google
6. Google Analytics et RGPD : rubrique FAQ
   1. Est-ce que Google Analytics collecte des données à caractère personnel ?
   2. Google Analytics 4 présente-t-il les mêmes problèmes de conformité au RGPD qu’Universal Analytics ?
   3. Puis-je utiliser le cryptage des données et la pseudonymisation pour que Google Analytics soit plus respectueux de la vie privée ?
   4. Puis-je utiliser le suivi côté serveur pour rendre Google Analytics plus respectueux de la vie privée ?
   5. Quels paramètres de conformité au RGPD sont disponibles dans Google Analytics ?
7. Google Analytics et RGPD : comment se préparer à tout scénario possible

Google Analytics, RGPD et cadres de transfert des données UE-États-Unis

Le principal problème de conformité avec Google Analytics découle du fait qu’il stocke des données utilisateur, y compris des informations sur les résidents de l’UE, sur des serveurs cloud basés aux États-Unis. Google LLC est également une société américaine, ce qui signifie que les données qu’elle collecte sont soumises aux lois américaines sur la surveillance.

Les citoyens américains sont protégés par le quatrième amendement, qui leur garantit le droit d’être protégés contre des perquisitions et des saisies abusives. Un traitement qui n’est pas pourtant assuré aux non-Américains, y compris les Européens. D’autant plus que le gouvernement américain a autorisé ses agences à mener une surveillance de masse sur les non-Américains en vertu des lois telles que la loi FISA de 1978 sur la surveillance du renseignement étranger (section 702) et le décret exécutif 12333. 

Chaque fois que les données personnelles des résidents de l’UE quittent l’Europe et sont transférées aux États-Unis, elles peuvent être interceptées par les agences de sécurité américaines. Cela suscite un conflit entre le droit américain et les droits à la vie privée accordés aux Européens par des législations telles que le RGPD et la Charte des droits fondamentaux de l’Union européenne (CFR). 

Pour cette raison, il est nécessaire que les transferts de données entre l’UE et les États-Unis soient régis par un accord spécial attestant le même niveau de sécurité aux données des Européens aux Etats-Unis qu’au sein de l’UE.

Cependant, l’exemple des deux accords précédents – notamment de la sphère de sécurité et du bouuclier de protection des données – fait preuve que le fait d’introduire des cadres ne protège pas de manière suffisante les données des Européens contre la surveillance américaine. 

Pour vous donner un meilleur contexte, discutons plus en détail de l’historique des deux cadres invalidés. 

La sphère de sécurité et ses principes de confidentialité – aperçu et raisons d’échec

Les principes de confidentialité de la Sphère de sécurité (Safe Harbour) était le premier cadre juridique régissant les transferts de données entre l’UE et les États-Unis. 

A l’époque de Safe Harbor, les entreprises américaines pouvaient fonctionner sur la base de l’auto-certification. La liste de 5000 d’entreprises s’appuyant sur l’accord comprenait des géants de technologie tels que Facebook et Google.

En 2015, Max Schrems, fondateur de l’organisation de protection de la vie privée NOYB, a contesté auprès de la Commission irlandaise de protection des données (DPC) les pratiques de partage des données utilisées par Facebook. Il a accusé le géant de la technologie de recueillir des informations personnelles auprès de citoyens de l’UE et de les envoyer aux États-Unis, en les mettant à la disposition de la NSA. L’affaire a ensuite été portée devant la CJUE. En 2015, cette dernière a constaté que le programme Safe Harbor ne protégeait pas de manière adéquate les données personnelles contre les « interférences » du gouvernement américain. La décision connue sous le nom de Schrems I a conduit à l’invalidation de l’accord le 6 octobre 2015.

Tout ce qu’il faut en savoir sur le Bouclier de protection des données 2.0

Suppression du bouclier de protection des données et ses conséquences sur les entreprises utilisant Google Analytics

Le bouclier de protection des données, qui visait à résoudre les problèmes identifiés dans Safe Harbor, est entré en vigueur le 12 juillet 2016, quelques mois après l’invalidation du premier cadre.

Avec le nouvel accord, la Commission européenne a renforcé les exigences du programme d’auto-certification, mais le cadre présentait toujours des failles. 

Max Schrems a de nouveau porté plainte devant la CJUE. Il a fait valoir qu’en vertu du nouvel accord, les transferts de données de l’UE vers les États-Unis effectués par des entreprises comme Facebook violaient toujours les droits à la vie privée des Européens. En juillet 2020, la Cour a invalidé le bouclier de protection des données dans la décision connue sous le nom de Schrems II. 

Conformément au Règlement général sur la protection des données (RGPD), des clauses contractuelles établissant des garanties appropriées en matière de protection des données peuvent être utilisées comme motif pour les transferts de données de l’UE vers des pays tiers. Cela inclut les clauses contractuelles types (CCT), « pré-approuvées » par la Commission européenne.

Le 4 juin 2021, la Commission a publié des clauses contractuelles types modernisées en vertu du RGPD pour les transferts de données des responsables du traitement ou des sous-traitants dans l’UE/EEE (ou autrement soumis au RGPD) aux responsables du traitement ou aux sous-traitants établis en dehors de l’UE/EEE (et non soumis au RGPD).

Ces CCT modernisées remplacent les trois ensembles de CCT adoptés en vertu de la précédente directive sur la protection des données 95/46.

Bouclier de protection des données : conséquences pour les utilisateurs de Google Analytics

En l’absence d’une décision d’adéquation réglementant ce flux de données, l’envoi d’informations sur les utilisateurs aux États-Unis avec des outils tels que Google Analytics est devenu risqué, d’autant plus que Google continuait de s’appuyer sur le même ensemble de CCT qu’il utilisait avant l’invalidation de l’accord. Les entreprises qui utilisaient la plateforme de Google risquaient de lourdes amendes et des atteintes à leur réputation. 

Depuis l’invalidation du bouclier, l’organisation NOYB veillant à la confidentialité des données, a déposé 101 plaintes contre des entreprises qui collectent des données sur les visiteurs avec Google Analytics et Facebook Connect. Résultat ? Une réaction en chaîne déclenchée en toute l’Europe :

• Le 12 janvier 2022, l’APD autrichienne a publié sa décision dans l’affaire d’un éditeur allemand anonyme. L’autorité a déclaré qu’utiliser Google Analytics pour collecter des données sur les résidents de l’UE était illégale en vertu du RGPD. 
• En avril 2022, la CNIL a rendu une décision ordonnant à trois sites français de cesser d’utiliser Google Analytics. Dans les mois suivants, les APD italiennes, danoises, norvégiennes et suédoises ont publié des déclarations similaires concernant des entreprises de leurs régions. 
• En 2020, le Comité européen de la protection des données (CEPD) a formé un groupe de travail pour aider les autorités européennes à adopter une approche consensuelle des plaintes. Par conséquent, tous les verdicts des autorités de l’UE ont suivi les mêmes directives, s’opposant à l’utilisation de Google Analytics en Europe.
• L’autorité néerlandaise de protection des données (AP), l’auteur d’un manuel sur la façon d’utiliser Google Analytics d’une manière respectueuse de la vie privée, a déclaré qu’utiliser Google Analytics « ne serait pas autorisé. » Un avis similaire a été émis par le Datenschutzstelle de Liechtenstein.
• L’APD autrichienne, elle, a récemment rendu une deuxième décision déclarant l’anonymisation IP de Google Analytics comme une mesure de protection insuffisante en vertu des transferts de données de l’UE vers les États-Unis. 
• Suite à sa décision précédente, la CNIL française a publié des directives révisées concernant l’utilisation de Google Analytics. Dans sa rubrique FAQ, nous lisons que les organisations basées dans l’UE ne peuvent pas utiliser le GA sans appliquer des garanties supplémentaires. L’autorité française a également déclaré que son avis sur Google Analytics reflète une position coordonnée de toutes les APD européennes.

En parallèle à ces décisions, la Commission européenne et le bureau du président américain Joe Biden élaboraient un nouveau cadre pour légaliser à nouveau les transferts de données entre l’Europe et les États-Unis. 

Nouveau cadre de confidentialité des données UE-États-Unis, rend-il Google Analytics 4 conforme au RGPD ?

Le 10 juillet 2023, la Commission européenne a adopté un nouveau cadre de confidentialité des données, souvent appelé le Bouclier de protection des données 2.0 (Privacy Shield 2.0). Le nouvel accord répond à certaines préoccupations soulevées par Schrems II, limitant la manière dont les agences d’espionnage américaines peuvent recueillir des renseignements et introduisant de nouvelles conditions pour la collecte de données personnelles. 

A présent, les entreprises américaines soumises à l’auto-certification et suivant les règles du RGPD, peuvent à nouveau utiliser Google Analytics pour collecter des données sur les résidents de l’UE. Cependant, celles-ci doivent considérer le risque que l’accord ne soit pas suffisant pour mettre fin au problème de transfert des données entre l’UE et les États-Unis. D’autant plus que les organismes veillant à la protection de la vie privée soulignent des similitudes frappantes entre le nouvel accord et les cadres précédents invalidés. 

Les problèmes avec le cadre de confidentialité des données UE-États-Unis

Le Comité européen de la protection des données (CEPD) et le Parlement européen (PE) critiquent l’accord pour ne pas aller assez loin dans la résolution du problème sous-jacent de collecte de données massive par les forces de l’ordre américaines. Le PE a même incité la Commission européenne à renégocier ou contester l’accord devant la CJUE :

«[Le Parlement européen] invite la Commission à agir dans l’intérêt des entreprises et des citoyens de l’UE en veillant à ce que le cadre proposé fournisse une base juridique solide, suffisante et tournée vers l’avenir pour les transferts de données UE-États-Unis ; s’attend à ce que toute décision d’adéquation, si elle est adoptée, soit contestée devant la CJUE ; souligne la responsabilité de la Commission pour défaut de protection des droits des citoyens de l’UE dans le cas où la décision d’adéquation est à nouveau invalidée par la CJUE. »

L’organisation de protection de la vie privée NOYB a également dénoncé les problèmes critiques liés au cadre, notamment :

L’absence de changements substantiels dans la loi FISA 702 et le décret EO 12.333

Selon NOYB, le principal problème autour de l’accord provient du fait que les États-Unis n’ont toujours pas assoupli leurs lois sur la surveillance malgré l’avis de la CJUE, déclarant que celles-ci ne sont pas « proportionnées » et permettent toujours aux services de renseignement américains de surveiller les données des résidents de l’UE. Comme l’accord est déjà en vigueur et que les régulateurs européens ont peu d’influence sur le gouvernement américain, Schrems doute qu’une telle réforme se produise un jour.

« Nous avons déjà vu passer des « sphères de sécurité », des « directives », des « boucliers » et des « cadres » – sans aucun changement substantiel dans la loi américaine sur la surveillance. Les communiqués de presse d’aujourd’hui sont presque une copie littérale de ceux des 23 dernières années. Le simple fait d’annoncer que quelque chose est « nouveau »,« robuste » ou « efficace » n’est pas suffisant devant la Cour de justice. Nous aurions besoin de changements dans la loi américaine sur la surveillance pour que cela fonctionne – et ceux-ci n’ont toujours pas été introduits, » conclut Schrems.

Les options de plainte insuffisantes pour les résidents de l’UE

NOYB critique également le choix limité des options de recours disponibles pour les résidents de l’UE ainsi que le processus de décision en cachette, citant les problèmes suivants :

• Les institutions du DPRC (Cour américaine d’examen de la protection des données) et du Délégué à la protection des libertés civiles ne sont que partiellement indépendantes du gouvernement américain et partagent de nombreuses similitudes avec le concept de médiateur introduit par le premier Bouclier. Cela est d’autant plus important que le mécanisme de médiation a été l’une des raisons pour lesquelles la CJUE a invalidé le cadre précédent. Dans le verdict, nous pouvons lire que le médiateur du bouclier de protection des données n’est pas un tribunal au sens de l’article 47 de la Charte. Le droit américain n’assure pas aux citoyens de l’UE un niveau de protection essentiellement équivalent à celui garanti par le droit fondamental inscrit dans l’article 47.
• Les individus n’auront aucune interaction directe avec la Cour qui examinera leurs plaintes. La procédure sera plutôt initiée en leur nom par l’APD locale et supervisée par un avocat spécial désigné. 
• La justification de chaque décision sera classifiée et indisponible pour le plaignant, ce qui s’oppose directement aux normes offertes par le système juridique de l’UE.

Or, compte tenu du débat animé autour du nouveau cadre, il est fort probable que d’autres plaintes apparaissent dans les prochains mois. NOYB a déjà annoncé ses prochains mouvements :

« Nous avons diverses options de contestation déjà en réserve […]. Nous nous attendons actuellement à ce que cela revienne à la Cour de justice d’ici le début de l’année prochaine. La Cour de justice pourrait même suspendre le nouvel accord pendant qu’elle en examine le contenu », a déclaré Schrems.

Le député français Philippe Latombe a déposé, un recours contre le Data Privacy Framework (DPF) devant la Cour de justice de l’Union européenne (CJUE) :

« Le texte issu de ces négociations viole la Charte des droits fondamentaux de l’Union, en raison de l’insuffisance de garanties du respect de la vie privée et familiale au regard des collectes en vrac de données personnelles, et le Règlement Général sur la Protection des Données (RGPD) », explique Latombe.

Google Analytics et conformité au RGPD : autres problèmes non-résolus

Certes, les transferts transatlantiques de données personnelles étaient le problème le plus urgent de Google Analytics en vertu du RGPD, mais pas le seul. Cela a été remarqué par Datatilsynet, l’APD norvégienne, dans sa déclaration publiée juste après l’introduction du nouveau cadre :

« Ce qui jusqu’à présent était un problème majeur avec Google Analytics semble avoir été résolu. Cela dit, nous n’excluons pas qu’il puisse y avoir d’autres problèmes de confidentialité avec l’outil. Toute personne qui choisit d’utiliser un outil d’analyse sur son site Web est également responsable de s’assurer que l’utilisation de celui-ci est conforme aux règles de confidentialité. Le transfert des données personnelles vers des pays en dehors de l’EEE n’est qu’un élément à vérifier ».

Les organisations qui souhaitent collecter des données via Google Analytics doivent encore évaluer attentivement l’impact que cela aura sur leur conformité. 

Voici, ci-dessous, notre liste de facteurs à prendre en compte.

Google utilise les données des visiteur à ses propres fins

Google utilise les données de Google Analytics pour améliorer ses services. Comme vous pouvez le lire notamment dans sa Politique de confidentialité et conditions d’utilisation :

« Les informations partagées par les sites et les applications nous permettent de fournir, gérer et améliorer nos services, d’en développer de nouveaux, d’évaluer l’efficacité de la publicité, de se prémunir contre les activités frauduleuses et les abus, et de personnaliser le contenu et les annonces qui apparaissent sur Google ainsi que sur les sites et applications de nos partenaires. »

De plus, puisque vous avez le code de suivi Google Analytics sur votre site Web, les annonceurs de Google Ads connaissent les préférences de vos visiteurs en fonction du contenu que ces derniers consultent. Cela, à son tour, leur permet de cibler ces utilisateurs avec de la publicité.

Pour toute organisation qui exige une confidentialité totale des données, cela peut sembler alarmant. La solution la plus respectueuse de la vie privée ? Désactiver le partage des données. Néanmoins, vous vous privez ainsi de l’accès à de nombreuses fonctionnalités, y compris le re-ciblage personnalisé des produits Google Ads et les rapports de données démographiques.  

Google Analytics n’a pas de cadre de consentement fiable

Comme évoqué précédemment, Google Analytics recueille, par défaut, des identifiants utilisateur uniques. Afin d’utiliser ces données identifiables, vous avez besoin du consentement de l’utilisateur, ce qui nous amène au dernier sujet : la gestion des consentements et des demandes de données.

Cadre de transparence et de consentement d’IAB

En premier temps, Google avait essayé de laisser la collecte du consentement aux éditeurs et utilisateurs de Google Analytics. Dans ce but, il fallait que ces derniers mettent en place une plateforme de gestion du consentement des tiers ou bien qu’ils trouvent leur propre moyen de répondre aux exigences de la loi de l’UE.

Un accord entre Google et IAB Europe a signalé un changement dans cette approche. 

Néanmoins, au niveau des types de consentement disponibles l’intégration est très limitée et ne couvre que les finalités de collecte de données liées aux fonctionnalités publicitaires de Google Analytics.

De plus, le cadre de consentement d’IAB (Internet Advertising Bureau) est considéré comme illégal dans certains pays européens. En novembre 2021, l’APD belge a statué que celui-ci est en violation du RGPD. En effet, le cadre enregistre les préférences des utilisateurs sous forme d’une chaîne unique de transparence et de consentement (TC), associable à un individu. 

Selon l’APD belge, l’IAB n’a pas réussi à établir une base juridique valide pour traiter ces données et fournir aux utilisateurs les informations nécessaires pour comprendre comment IAB utilise les informations collectées. 

En mars 2022, IAB Europe a contesté cette décision devant le tribunal du marché belge. Nous sommes toujours dans l’attente du verdict final.

Mode Consentement Google

La deuxième option proposée par Google est le mode consentement. Celui-ci constitue la réponse de Google à la perte de données résultant des exigences de consentement imposées par le RGPD et d’autres lois sur la confidentialité des données.

Cette fonctionnalité interagit avec votre plateforme de gestion du consentement tierce ou personnalisée. Pour Universal Analytics cela signifie l’utilisation des pings sans cookies au lieu de cookies chaque fois que les visiteurs décident de ne pas accepter le suivi. Dans Google Analytics 4, cette solution permet de combler les lacunes au niveau de collecte de données à l’aide de modèles de conversion qui estiment les conversions en ligne « perdues » avec un algorithme basé sur l’IA. 

Remplacer les cookies par des pings, bien qu’utile, soulève d’autres préoccupations en matière de confidentialité. Avec les paramètres par défaut recommandés par Google, la plateforme continue de collecter des données utilisateur sans le consentement de ce dernier. L’appel envoyé à Google contient toujours l’adresse IP de l’utilisateur et éventuellement d’autres identifiants uniques, tels que les informations sur l’appareil, les identifiants utilisateur et transactionnels. La collecte de ces informations n’étant pas strictement nécessaire et impliquant la collecte de données personnelles, ne devrait se faire qu’avec le consentement des visiteurs. 

Si un visiteur déclare explicitement qu’il ne souhaite pas être suivi ou que ses données soient traitées – au-delà de la catégorie de ce qui est « strictement nécessaire » au fonctionnement du site ou de l’application – et que vous, en tant que processeur de données, ignorez cette demande, vous venez d’enfreindre délibérément les règles du RGPD et de la directive ePrivacy. Voire, très probablement, de toute loi sur la protection de la vie privée, quelle que soit la juridiction.

Brian Clifton, docteur, expert en matière de data analytics et de confidentialité
Il est possible d’empêcher l’envoi des informations d’utilisateurs à Google en modifiant les paramètres du mode consentement. Toutefois, certains utilisateurs n’étant pas au courant de ce problème, partageront toujours des données avec GA, compromettant ainsi la conformité de leur collecte du consentement.

Google Analytics et RGPD : rubrique FAQ

Est-ce que Google Analytics collecte des données à caractère personnel ?

Oui. Dans ses conditions de traitement Google interdit aux utilisateurs de collecter tout type de données personnelles autres que :

Les identifiants en ligne, y compris les identifiants de cookies, les adresses IP et les identifiants d’appareils; les identifiants client

De plus, la plateforme anonymise certaines données sur les visiteurs, y compris les adresses IP. Or, elle utilise toujours des identifiants qui sont considérés comme des données personnelles. Selon le DBS autrichien :

« [Dans Google Analytics] L’anonymisation IP ne concerne que l’adresse IP. Tout autre type de données, telles que les identifiants en ligne, qui sont définies via des cookies ou des données d’appareil, sont toujours transmises par Google en texte brut. L’anonymisation de l’adresse IP n’a lieu qu’après le transfert des données à Google. »

Cela signifie que les données collectées avec Google Analytics sont soumises au RGPD.

Google Analytics 4 présente-t-il les mêmes problèmes de conformité au RGPD qu’Universal Analytics ?

La réponse courte est : oui. Malgré certains changements dans les paramètres de confidentialité, Google Analytics 4 recueille toujours des données personnelles (identifiants utilisateur uniques) et les traite hors l’UE. Enfin, Google Analytics 4 est, malgré tout, un produit développé et maintenu par Google, une entité américaine soumise aux lois américaines de surveillance des données telles que la FISA et le Cloud Act. 

Puis-je utiliser le cryptage des données et la pseudonymisation pour que Google Analytics soit plus respectueux de la vie privée ?

Selon certaines autorités de protection des données, y compris Datatilsynet et la CNIL, la mise en place de mesures de confidentialité supplémentaires pourraient résoudre certains problèmes de confidentialité avec GA. Pour assurer une mise en œuvre légale de la plateforme :

• veillez à ce que les scripts de Google Analytics ne soient déclenchés qu’une fois le consentement de l’utilisateur obtenu.
• configurez le côté serveur d’analyse et déployez-le sur des serveurs basés dans et appartenant à l’UE.
• débarrassez-vous de tous les identifiants personnels (identifiants utilisateur, adresses IP, identifiants utilisateur-agent, identifiants transversaux, URL du référent, URL de la page complète, données dans les balises UTM et dimensions personnalisées pouvant contenir des données personnelles) avant d’envoyer des données aux États-Unis.

Cette configuration est coûteuse et difficile à maintenir. Également, elle limite considérablement vos capacités d’analyse. Entre autres choses, les fonctionnalités suivantes ne seront plus à votre disponibilité : 

• mesurer l’exécution des canaux de vente – vous ne saurez pas quels emplacements, canaux ou campagnes apportent des ventes et ceux qui ne le font pas, alors que vous vous y basez pour optimiser le budget.
• suivre le parcours client et les entonnoirs sur le site – par exemple, le moment d’abandon avant de faire l’achat. Vous ne disposerez donc pas de données sur la façon d’optimiser les conversions sur site.
• géolocaliser – vous ne saurez pas d’où viennent vos visiteurs/conversions car ces informations sont dérivées de l’adresse IP).

Si cette configuration vous paraît impossible ou irréalisable, pensez à remplacer Google Analytics par un logiciel satisfaisant aux normes de confidentialité de l’UE. 

Puis-je utiliser le suivi côté serveur pour rendre Google Analytics plus respectueux de la vie privée ?

Utiliser un serveur proxy vous permet de mieux contrôler les données que vous envoyez à Google. Ainsi, vous êtes, par exemple, en mesure de supprimer les identifiants uniques des utilisateurs avant qu’ils n’atteignent les centres de données américains et ne soient soumis aux lois de surveillance. 

Cela dit, maintenir cette configuration implique des coûts importants et, sans identifiants d’utilisateur uniques, GA ne sera pas en mesure de connecter les événements en sessions. Par conséquent, les fonctionnalités telles que l’analyse du parcours client, des entonnoirs ou des conversions d’attributs ne seront plus disponibles.

Compte tenu de ces compensations, il serait plus efficace de réaliser des analyses à l’aide d’une plateforme respectueuse de la vie privée qui ne nécessite pas de tels sacrifices.

Suivi analytique côté serveur avec collecteur de première partie : ce que vous devez en savoir

Quels paramètres de conformité au RGPD sont disponibles dans Google Analytics ?

La liste des paramètres Google Analytics conçus pour vous aider à vous conformer au RGPD comprend :

• Mécanisme d’effacement des données – dans Google Analytics, vous avez désormais la possibilité d’effacer des informations sur les visiteurs, si ces derniers le demandent. Cela dit, cette fonctionnalité ne fonctionne que pour des catégories entières de données. La liste inclut tous les : titres de page, étiquettes d’événement, catégories d’événement, actions d’événement, dimensions personnalisées ou ID utilisateur que vous avez collectés dans une période donnée. Pour effacer des données en fonction d’un cookie ou d’un identifiant utilisateur particulier, vous avez besoin de l’API User Deletion de Google Analytics, qui nécessite déjà certaines compétences en matière de codage.
• Paramètres de rétention des données – Google a introduit de nouveaux  paramètres de rétention des données. Ceux-ci vous permettent de contrôler la durée pour laquelle les données d’utilisateur individuel vont être conservées avant d’être automatiquement supprimées. Avec Google Analytics 4, la période de rétention des données varie entre 2 et 14 mois.
• Nouvelle politique de confidentialité – Google a également ajouté de nouvelles conditions RGPD dans le contrat standard, où il se définit comme le « sous-traitant de données » à l’égard d’Analytics et d’Analytics 360. 
• Conditions de traitement des données mises à jour – Google a apporté des modifications importantes à ses conditions de traitement des données. Ces dernières font également office d’accord de traitement de données. Le nouveau document énonce vos responsabilités, telles que l’information et l’obtention du consentement valide des résidents européens.
• Paramètres de confidentialité – Il s’agit notamment des outils concernant les cookies, le partage des données, les contrôles de confidentialité, l’effacement des données lors de suppression du compte et l’anonymisation de l’adresse IP.
• Désactivation du partage des données avec des tiers par défaut – Certaines fonctionnalités de Google Analytics 4 qui nécessitent le partage de données avec l’écosystème Google sont désormais désactivées par défaut. Il s’agit, entre autres, des « signaux » : des données de session collectées à partir des sites et des applications. Celles-ci concernent les utilisateurs connectés et sont utilisées pour des fins de publicité personnalisée et du remarketing. 
• Mode consentement Google – Google Analytics dispose désormais d’un mode de consentement spécial qui vous permet d’utiliser une modélisation de conversion basée sur l’IA chaque fois que les visiteurs refusent le consentement au suivi.

Google Analytics et RGPD : comment se préparer à tout scénario possible

Les entreprises préoccupées par le fait que les nouvelles plaintes conduiront à Schrems III ou celles qui ne sont pas satisfaites de l’approche de Google Analytics en matière de confidentialité des utilisateurs doivent envisager des options plus évolutives pour la collecte de données en vertu du RGPD. 

Étant donné que les verdicts tels que Schrems II fonctionnent rétroactivement et n’incluent pas de période de grâce, il est logique de se préparer à tout scénario avant que la décision potentielle ne fasse la une.

Voici quelques scénarios plausibles :

• Limitation/exclusion des transferts et anonymisation des données. La technologie commerciale américaine repose fortement sur l’identification des utilisateurs et les transferts de données. Limiter les transferts ou enlever des informations personnelles des ensemble de données permet de surmonter ce problème, mais à un prix important. En effet, lorsque Google Analytics est configuré pour répondre aux normes du RGPD (selon les directives de la CNIL), il perd la plupart de ses fonctionnalités.
• Mise à jour de la pile technologique avec les alternatives disponibles dans l’UE. Schrems II a ouvert le marché pour les entreprises basées dans l’UE, proposant des logiciels commerciaux et marketing avec un hébergement local au sein de l’UE. Ces alternatives permettent aux organisations de devenir complètement indépendantes de l’épreuve du transfert de données transatlantique.
• L’option moins respectueuse de la vie privée serait de choisir une plateforme analytique avec moins de fonctionnalités de confidentialité et de réduire le risque de non-conformité en appliquant des mesures de sécurité supplémentaires. Cependant, celle-ci n’est qu’une solution temporaire à supposer que vous envoyiez toujours les données aux serveurs basés aux ou détenus par les États-Unis, soumis aux lois de surveillance américaines.

N’hésitez pas à nous contacter pour en savoir plus sur la façon dont Piwik PRO Analytics Suite vous facilite la conformité au RGPD. Nous serons ravis de répondre à toutes vos questions.