Google Analytics est de loin l’outil d’analyse le plus répandu sur le marché. C’est gratuit et vous permet d’analyser le trafic du site Web et de recueillir des données précieuses sur le comportement des utilisateurs. Par contre, est-il conforme au RGPD ?
Google Analytics et sa société mère, Google LLC, sont dans la ligne de mire des activistes européens en respect de la vie privée depuis un bon moment. Ces dernières années, nous avons entendu parler de pratiques contestables de Google en matière de confidentialité. Cela inclut les plaintes déposées par des organisations militantes telles que l’association autrichienne Noyb et la Fondation polonaise Panoptykon.
Google a également écopé d’amendes atteignant des millions de dollars, imposées par plusieurs autorités européennes de protection des données, y compris la CNIL française, ainsi que les autorités suédoises (IMY) et belges (APD).
En même temps, la décision de la Cour de Justice de l’union européenne (CJUE) dans l’affaire Schrems II et la suppression du bouclier de protection des données ont centré l’attention du public aux plateformes telles ques Google Analytics qui stockent les données des résidents de l’UE sur des serveurs cloud basés dans les Etats-Unis.
Jusqu’à présent, la réponse à la question « Est-ce que Google Analytics est conforme au RGPD ? » est restée ambiguë. Certaines organisations basées dans l’UE ont été alarmées par les controverses autour de Google Analytics et se sont tournées vers des alternatives plus respectueuses de la vie privée. D’autres ont continué à utiliser l’outil.
Pourtant, les autorités autrichiennes, françaises et italiennes chargées de la protection des données ont sans équivoque déclaré que l’utilisation de Google Analytics était illégale en vertu du RGPD.
Continuez la lecture pour en savoir plus sur l’histoire de ces décisions et les conséquences qu’elles auront pour les entreprises qui traitent les données des résidents de l’UE.
Google Analytics et la conformité au RGPD : 6 changements clés apportés aux produits
D’abord, commençons par adresser les changements positifs apportés à Google Analytics dans le but de convenir aux normes RGPD. La liste des nouvelles fonctionnalités et ajustements comprend :
1) Mécanisme d’effacement des données – dans Google Analytics, vous avez désormais la possibilité d’effacer des informations sur les visiteurs, s’ils le demandent. En revanche, cette fonctionnalité n’est disponible que pour des ensembles complets de données, dont tous les titres de page, étiquettes d’événement, catégories et actions d’événement, dimensions personnalisées ou identifiants utilisateur que vous avez collectés dans une période donnée. Pour effacer des données en fonction d’un cookie ou d’un identifiant utilisateur particulier, vous devez utiliser l’API Google Analytics User Deletion, qui nécessite déjà certaines compétences en matière de codage.
2) Paramètres de conservation des données – Google a introduit de nouveaux paramètres de conservation des données. Ceux-ci vous permettent de contrôler la durée pour laquelle les données d’utilisateur individuel vont être conservées avant d’être automatiquement supprimées. Avec Google Analytics 4, vous pouvez choisir entre 2 et 14 mois de conservation des données.
3) Nouvelle politique de confidentialité – Google a également ajouté de nouvelles conditions RGPD dans le contrat standard, où il se définit comme le « sous-traitant de données » par rapport à Analytics et Analytics 360.
4) Conditions de traitement des données mises à jour – Google a apporté des modifications importantes à ses conditions de traitement des données. Ces conditions font également office d’un accord de traitement de données. Le nouveau document énonce vos responsabilités qui consistent, par exemple, à tenir les utilisateurs informés et à obtenir le consentement valide des résidents européens. De surcroît, Google repose sur les clauses contractuelles types (CCT) pour assurer la sécurité de ses transferts de données transfrontaliers.
5) Fonctionnalités existantes qui favorisent la conformité au RGPD – Google Analytics rappelle également à ses utilisateurs tous les paramètres de confidentialité déjà disponibles sur leurs comptes. Il s’agit notamment des outils concernant les cookies, le partage de données, les contrôles de confidentialité, l’effacement de données lors de désactivation du compte et l’anonymisation de l’adresse IP.
6) Processus de collecte de données partiellement déplacée vers l’UE – la nouvelle version de Google Analytics, Google Analytics 4, collecte les données des utilisateurs de l’UE à travers les serveurs Google basés au sein de l’UE avant de les transférer vers les serveurs Analytics pour traitement.
Ces changements, accompagnés d’une myriade de guides sur la manière dont vous pouvez rendre Google Analytics conforme au RGPD, ont donné l’impression qu’il est possible d’utiliser la plateforme sans violer la loi de l’UE. Or, la réalité n’est pas si brillante pour les propriétaires de sites Web utilisant Google Analytics.
Google Analytics et le RGPD : comment la plateforme viole la loi de l’UE
Le principal problème de conformité avec Google Analytics provient du fait qu’il stocke des données utilisateur, y compris des informations sur les résidents de l’UE, sur des serveurs cloud basés aux États-Unis. En outre, Google LLC est une société détenue par les États-Unis et donc soumise aux lois de surveillance américaines, telles que la loi Cloud Act.
Pourquoi est-ce un problème ?
En juillet 2020, la Cour de justice de l’Union européenne (CJUE) a annulé le bouclier de protection des données, qui avait déterminé les règles pour le transfert des données entre l’UE et les États-Unis. Dans l’arrêt Schrems II, la Cour européenne a jugé que le transfert de données à caractère personnel de l’UE vers les États-Unis est illégal à moins que les entreprises ne puissent garantir que ces données seront à l’abri du renseignement américain.
En l’absence d’accord d’adéquation, certaines entreprises, y compris Google, ont eu recours à des clauses contractuelles types (CCT) comme moyen de protection des données envoyées aux États-Unis.
Depuis la décision, NOYB, l’organisation qui veille à la confidentialité des données, a déposé 101 plaintes contre des entreprises qui collectent des données sur les visiteurs avec Google Analytics et Facebook Connect. La liste des entreprises poursuivies en justice comprend des entreprises de différents secteurs, avec une représentation importante dans le domaine d’édition et de finances.
Jusqu’à présent, les autorités chargées de la protection des données ont évalué deux plaintes. Le 12 janvier 2022, la DPA autrichienne a publié sa décision dans l’affaire d’un éditeur allemand anonyme. Le régulateur a déclaré que l’utilisation de Google Analytics pour collecter des données sur les résidents de l’UE est illégale en vertu du RGPD.
Selon l’autorité, il est possible de lier les informations collectées avec Google Analytics à une personne physique. Parallèlement, les SCC (Security Command Center) introduits par Google ne peuvent pas protéger les données des résidents de l’UE contre la surveillance américaine. Pour cette raison, les organisations qui collectent des données analytiques sur les résidents de l’UE ne devraient pas utiliser Google Analytics.
En avril 2022, la CNIL a rendu une décision ordonnant à trois sites français de cesser d’utiliser Google Analytics. Deux mois plus tard, la DPA italienne a publié une déclaration similaire. D’autres autorités chargées de la protection des données pourraient suivre dans cette voie. Voici pourquoi :
- En 2020, le Comité européen de la protection des données (ang. EDPB) a formé un groupe de travail dédié pour coordonner la communication entre toutes les autorités européennes de protection des données après l’arrêt Schrems II et pour les aider à gérer les plaintes découlant de l’arrêt.
- L’autorité néerlandaise de protection des données (AP), l’auteur d’un manuel sur la façon d’utiliser Google Analytics d’une manière respectueuse de la vie privée, a maintenant déclaré que l’utilisation de Google Analytics « ne serait pas autorisée. »
- Les DPA norvégienne (la EDPS) et liechtensteinoise (Datenschutzstelle) ont publié un avis similaire à celui émis par l’autorité néerlandaise.
- L’autorité danoise a annoncé qu’elle réagirait à la décision de la DPA autrichienne en publiant ses propres directives sur l’utilisation de Google Analytics. En même temps, elle a souligné l’importance d’une interprétation commune de ces règles par tous les régulateurs européens.
- La DPA autrichienne a récemment rendu une deuxième décision, qui a déclaré l’utilisation de l’anonymisation IP introduite par Google comme une mesure de protection insuffisante dans le cadre de transferts de données de l’UE vers les États-Unis. En outre, cette même autorité a rejeté la notion d ‘« approche fondée sur les risques » qui avait été défendue par Google.
- Suite à sa décision précédente, la CNIL française a publié des directives révisées sur l’utilisation de Google Analytics. Sa rubrique FAQ suggère que les organisations basées dans l’UE ne peuvent pas utiliser l’outil sans appliquer des garanties supplémentaires. L’autorité française a également déclaré que son point de vue sur Google Analytics est une position coordonnée de tous les DPA européennes.
Bien que les décisions ne mentionnent que Google Analytics, elles auraient de l’impact sur toutes les plateformes qui stockent des données sur des serveurs situés aux États-Unis. Mais il est possible que les entreprises soient en mesure d’atténuer les risques en reposant sur d’autres produits analytics. Une solution possible serait d’introduire des mesures de sécurité qui empêcheront les agences de renseignement américaines d’accéder aux données des utilisateurs en vertu de la loi Cloud Act.
Google Analytics 4, est-il conforme au RGPD ?
Bref : non. Malgré certains changements dans les paramètres de confidentialité, Google Analytics 4 recueille toujours des données personnelles (identifiants utilisateur uniques) et les traite en dehors de l’UE. Enfin, celui-ci est toujours un produit développé et maintenu par Google, une entité américaine soumise aux lois américaines de surveillance des données telles que la FISA et le Cloud Act.
Google Analytics pour Firebase SDK, est-il conforme au RGPD ?
Google Analytics pour Firebase a les mêmes problèmes de conformité que la version régulière de la plateforme : il collecte des données personnelles (identifiants utilisateur uniques) et les envoie en dehors de la juridiction européenne sur la protection de la vie privée. Pour cette raison, les récentes décisions déclarant Google Analytics en tant qu’illégale dans l’UE s’appliquent également à Google Analytics pour Firebase.
Google Analytics et le RGPD : autres problèmes non résolus
Les transferts transatlantiques de données personnelles sont le problème le plus pressant avec Google Analytics en termes du RGPD. Mais ils ne sont pas les seuls. Voici donc 4 facteurs à garder à l’esprit pour mieux évaluer la conformité de Google Analytics au RGPD.
Par défaut, Google utilise les données de visiteur à ses propres fins
Google utilise les données de Google Analytics pour améliorer ses services. Les informations que les utilisateurs recueillent dans la plateforme sont partagées avec d’autres produits Google tels que :
- Google Ads
- Youtube
- Google AdSense
Comme vous pouvez le lire notamment dans la Politique de confidentialité et conditions d’utilisation de Google :
De nombreux sites Web et applications utilisent les services Google pour améliorer leur contenu et le garder gratuit. Lorsqu’ils intègrent nos services, ces sites et applications partagent des informations avec Google.
Pour l’illustrer, lorsque vous visitez un site Web qui utilise des services publicitaires comme AdSense, y compris des outils d’analyse comme Google Analytics, ou intègre du contenu vidéo de YouTube, votre navigateur Web envoie automatiquement certaines informations à Google. Il s’agit, par exemple, de l’URL de la page que vous consultez et de votre adresse IP. Nous pouvons également déposer des cookies dans votre navigateur ou lire ceux qui sont déjà présents. Les applications qui utilisent nos services publicitaires partagent également des informations avec nous, telles que le nom de l’application et l’identifiant publicitaire unique.
Les données fournies par les utilisateurs de Google Analytics permettent à Google de procéder au profilage des utilisateurs. En rassemblant des données provenant de plusieurs sources, Google est capable de déterminer des caractéristiques d’utilisateur, telles que leurs sexe et emplacement. Ces données sont ensuite publiées dans des rapports.
De plus, grâce au fait que vous avez le code de suivi Google Analytics sur votre site Web, les annonceurs de Google Ads apprennent les préférences de vos visiteurs en fonction du contenu qu’ils visionnent. Cela, à son tour, lui permet de mieux cibler ces utilisateurs avec de la publicité.
Pour toute organisation qui exige une confidentialité totale des données, cela peut sembler alarmant. Plus il y a d’entités qui ont accès à vos données, plus grand devient le risque que leur sécurité soit compromise. En outre, l’utilisation des données visiteurs à toutes ces fins nécessite un consentement. Or, il n’y aurait aucun moyen de faire dépendre la collecte de données du consentement des visiteurs.
C’est pourquoi la meilleure option est de désactiver le partage de données. Néanmoins, vous vous privez ainsi de l’accès à de nombreuses fonctionnalités, y compris les intégrations avec les produits Google Ads et les rapports de données démographiques.
Avec Google Analytics, vous ne pouvez plus stocker la plupart des types de données personnelles
Dans ses conditions de traitement Google interdit aux utilisateurs de collecter tout type de données personnelles autres que :
Identifiants clients et identifiants en ligne, y compris les identifiants de cookies, les adresses IP et les identifiants d’appareils.
Certes, c’est une bonne astuce pour se libérer de certaines responsabilités liées au RGPD. Mais de votre point de vue, cette approche n’est pas du tout avantageuse. Et si vous souhaitez traiter plus de données personnelles et assumer toutes les responsabilités que cela implique ? Par exemple, télécharger des données CRM ou des statistiques de marketing par e-mail sur votre instance d’analyse.
Si c’est le cas, vous devrez passer à une plateforme d’analyse qui vous permet de le faire.
Pour apprendre pourquoi les données de première main sont les plus précieuses pour les spécialistes en marketing, consultez l’article : Why First-Party Data is the Most Valuable to Marketers
Vous êtes toujours obligés de recueillir les consentements. même si vous ne souhaitez pas traiter de données personnelles
Même si vous ne voulez pas traiter de données personnelles, il y a une embrouille. Dans Google Analytics, chaque utilisateur est enregistré avec un identifiant unique. Grâce à ce dernier, GA vous donne un aperçu du nombre de personnes qui visitent votre site et, par exemple, de celles qui reviennent. Conformément au RGPD, ces identifiants en ligne sont considérés comme des données personnelles.
Pour éviter d’envoyer des données personnelles à Google Analytics, Google vous conseille d’exploiter l’exigence de hachage minimale avec l’algorithme SHA256. Vous trouverez ici les guides de Google sur les bonnes pratiques permettant d’éviter l’envoi d’informations personnelles et d’anonymiser les adresses IP.
Cependant, en vertu du RGPD, les données hachées sont toujours considérées comme des données personnelles et vous avez donc besoin d’un consentement valide du visiteur pour les collecter et traiter. Cela peut entraîner de graves pertes de données, car de 30 à 70 % des visiteurs ne consentent pas à suivre leurs données personnelles.
Sinon, vous pourriez passer à un produit qui vous permet d’éviter les données personnelles et les responsabilités que leur collecte implique. La meilleure façon de le faire est d’utiliser des méthodes d’anonymisation avancées. Découvrez comment effectuer des analyses utiles sans données personnelles : See how to do useful analytics without personal data.
Google Analytics n’a pas de système de consentement fiable
Ainsi nous sommes amenés au dernier sujet : la gestion des consentements de visiteurs et des demandes de données.
Google a d’abord essayé d’assigner cette tâche aux éditeurs et aux utilisateurs de Google Analytics. Pourtant, un récent accord entre Google et IAB Europe signale un tournant dans leur approche. Exemple ? Le premier résultat de la collaboration est Funding Choices : une plateforme de gestion du consentement dédiée aux grands éditeurs qui rentabilisent leur inventaire de données via les produits Google.
Cela signifie que les utilisateurs qui souhaitent collecter des informations sur ces visiteurs à l’aide de Google Analytics doivent toujours trouver leur propre façon de gérer les consentements et les demandes de données.
En novembre 2021, la DPA belge a statué que le standard de recueil du consentement proposé par l’IAB (Internet Advertising Bureau) est en violation du RGPD. Pour en savoir plus sur cette décision, cliquez ici.
Google Analytics et RGPD : quelles alternatives ?
Nous ne connaissons pas encore le résultat final de la saga Google Analytics, car nous attendons toujours que d’autres autorités de protection des données fassent part de leurs opinions.
Néanmoins, il est évident que les entreprises qui collectent des données sur les résidents de l’UE doivent repenser leurs choix sans plus tarder, afin de se préparer à tout scénario. Il existe également de nombreuses bonnes raisons pour se tourner vers différentes plateformes d’analyse, même si les verdicts des autorités de protection des données n’interdisent pas de manière efficace l’utilisation de Google Analytics en Europe.
L’approche la plus respectueuse de la vie privée serait de passer à une plateforme d’analyse basée à l’intérieur des frontières de l’UE, qui protège les données des utilisateurs et offre un hébergement sécurisé, idéalement dans un centre de données détenu par l’UE. Une telle solution vous permettrait de collecter, stocker et traiter les données conformément au RGPD.
Cliquez ici pour en lire plus sur l’analytique respectueuse de la vie privée.
L’option moins axée sur la confidentialité serait de choisir une plateforme analytique avec moins de fonctionnalités de confidentialité et de réduire le risque de non-conformité en appliquant des mesures de sécurité supplémentaires. Cependant, celle-ci n’est qu’une solution temporaire, à supposer que vous envoyiez toujours des données aux serveurs basés aux ou détenus par les États-Unis, qui sont soumis aux lois de surveillance américaines.
Si vous souhaitez en savoir plus sur les alternatives Google Analytics, consultez nos comparaisons de produits détaillées :
- Piwik PRO vs. Google Analytics : le comparatif détaillé
- Comparez 7 plateformes d’analyse Web gratuites (analyse produit comprise)
- Google Analytics alternatives – free and paid
- Piwik PRO vs. Google Analytics & Google Analytics 360
Pour en savoir plus sur la façon dont Piwik PRO Analytics Suite vous facilite le respect du RGPD, contactez-nous. Nous serons ravis de répondre à toutes vos questions.