Back to blog

Google Analytics, est-il conforme au RGPD ? 10 questions à considérer

Analytics Data privacy & security GDPR

Written by

Published septembre 7, 2021

Google Analytics, est-il conforme au RGPD ? 10 questions à considérer

Google Analytics est de loin l’outil d’analyse le plus répandu sur le marché. C’est gratuit et vous permet d’analyser le trafic du site Web et de recueillir des données précieuses sur le comportement des utilisateurs. 

Cependant, la collecte de données analytiques nécessite le respect des réglementations en matière de protection des données telles que le RGPD. 

Ces dernières années, nous avons entendu parler de pratiques contestables de Google en matière de confidentialité. Il s’agit, par exemple, de tracer l’histoire d’achats d’utilisateurs à l’aide de reçus adressés par e-mail (Gmail’s purchase history tool highlights just how much Google knows about you), de personnaliser les publicités dans les navigateurs en mode navigation privée (Google reportedly personalizes search results even when you’re in incognito mode), et d’acheter, en secret, des données transactionnelles auprès de Visa et de Mastercard (Google and Mastercard in credit card data deal). Certaines de ces pratiques ont conduit à des poursuites judiciaires dans le cadre du RGPD. Jusqu’à présent, plusieurs organisations ont poursuivi Google en justice. La liste comprend la CNIL française, l’association autrichienne Noyb, la Fondation Panoptykon en Pologne, la CNIL irlandaise et le Bureau européen des unions de consommateurs (BEUC). 

Les consommateurs et les entreprises qui apprécient la confidentialité de leurs données tirent la sonnette d’alarme. Une question se pose : Google Analytics, est-il conforme au RGPD ? Peut-être pas, mais une simple réponse « oui » ou « non » est difficile à donner. Voici donc 10 facteurs à garder à l’esprit pour mieux évaluer Google Analytics et sa conformité au RGPD.

Google Analytics et la conformité au RGPD : 5 changements clés apportés aux produits

D’abord, commençons par adresser les changements positifs apportés à Google Analytics dans le but de convenir aux normes RGPD. 

Si vous utilisez Google Analytics, Google est votre sous-traitant de données. C’est un rôle important en vertu du RGPD.

Consultez notre glossaire pour apprendre plus sur les devoirs des sous-traitants de données : What is a data processor?

Étant donné que Google traite des données de personnes du monde entier, il a dû prendre des mesures pour se conformer aux normes RGPD. La liste des nouvelles fonctionnalités et ajustements comprend :

1) Mécanisme d’effacement des données 

Dans Google Analytics, vous avez désormais la possibilité d’effacer des informations sur les visiteurs, s’ils le demandent. Cela dit, soyez avisés que le mécanisme a de sérieuses limitations.

Par défaut, il ne vous permet pas de supprimer les enregistrements associés à un seul visiteur. Au lieu de cela, vous pouvez effacer tous les titres de page, étiquettes d’événement, catégories et actions d’événement, dimensions personnalisées ou identifiants utilisateur que vous avez collectés dans une période donnée : 

Demande d’effacement de données dans Google Analytics

Pour effacer des données en fonction d’un cookie ou d’un identifiant utilisateur particulier, vous devez utiliser Google Analytics User Deletion API. Cependant, afin d’intégrer cette fonctionnalité dans votre compte, vous devrez modifier votre code.

2) Paramètres de conservation des données

Google a également introduit des paramètres de conservation des données. Cela vous permet de contrôler la durée pour laquelle les données d’utilisateur individuel vont être conservées avant d’être automatiquement supprimées :

Paramètres de conservation des données dans Google Analytics

Par défaut, les données sont retenues pendant 26 mois.

3) Nouvelle politique de confidentialité

Google a également inclus de nouvelles conditions RGPD dans le contrat standard, où il se définit comme le « sous-traitant de données » par rapport à Analytics et Analytics 360. Dans son centre d’aide, Google déclare que :

Google Analytics et Google Analytics pour Firebase restent des sous-traitants des données d’analyse qui ne sont ni partagées, ni utilisées dans le cadre de ce paramètre.

Pourtant, si vous activez les paramètres de partage de données dans votre compte Google Analytics pour partager les données avec Google Ads, Google obtient un contrôle conjoint de données :

Lorsque les clients de Google Analytics activent le paramètre de partage de données pour les « produits et services Google » (Google Analytics) et acceptent les « Conditions relatives à la protection des données Responsable du traitement-Responsable du traitement du Service de mesure Google » (qui intègre la politique de consentement de l’utilisateur de l’UE), Google est, aux fins du RGPD, responsable du traitement des données qui sont partagées et utilisées dans le cadre de ce paramètre.

4) Conditions de traitement des données mises à jour

Google a apporté des modifications importantes à ses conditions de traitement des données. Ces conditions font également office de l’accord de traitement de données (data processing agreement) : l’un des documents les plus importants que vous devez signer avec chaque entité à laquelle vous autorisez l’accès aux données personnelles de vos visiteurs.

Le nouveau document énumère vos responsabilités, telles que l’information et l’obtention du consentement valide des résidents européens. 

Remarque : La mise à jour de la politique de traitement des données afin qu’elle réponde aux obligations du RGPD est une excellente initiative. Cependant, en demandant à des utilisateurs de cocher une case afin d’accéder aux services, vous les présenter devant un choix de type « tout ou rien ». Ce qui est déjà une violation du RGPD. Max Schrems, un activiste autrichien de la protection des données, a abordé cette question dans sa première action en justice contre Google, déposé le tout premier jour de la mise en vigueur du RGPD (pour en lire plus, consultez l’article : first lawsuit against Google).

5) Fonctionnalités existantes qui favorisent la conformité au RGPD

Google Analytics rappelle également à ses utilisateurs tous les paramètres de confidentialité déjà disponibles dans leurs comptes – les outils et fonctionnalités tels que :

  • Paramètres de cookies à personnaliser
  • Paramètres de partage des données
  • Solutions pour la protection de la vie privée
  • Effacement des données lors de suppression du compte
  • Anonymisation d’adresse IP

Google Analytics et la conformité au RGPD : quelques problèmes non résolus

Jusqu’ici tout va bien. Toutefois, il y a aussi des questions que Google n’a pas encore abordées, malgré le fait que le RGPD soit en vigueur depuis plus de deux ans. 

1) Google Analytics ne vous permet pas de stocker la plupart des types de données personnelles

Dans ses conditions de traitement (Google Ads Data Protection Terms) Google interdit aux utilisateurs de collecter tout type de données personnelles autres que :

Identifiants clients et identifiants en ligne, y compris les identifiants de cookies, les adresses IP et les identifiants d’appareils. 

Certes, c’est une bonne astuce pour se libérer de certaines responsabilités liées au RGPD. Mais de votre perspective, cette approche n’est pas du tout avantageuse. Et si vous souhaitez traiter plus de données personnelles et assumer toutes les responsabilités que cela implique ? Par exemple, vous voulez peut-être télécharger des données CRM ou des statistiques de marketing par e-mail sur votre instance d’analyse.

Pour apprendre pourquoi les données de première main sont les plus précieuses pour les spécialistes en marketing, consultez le lien suivant : Why First-Party Data is the Most Valuable to Marketers

Si c’est le cas, vous devrez passer à une plateforme d’analyse qui vous permet de le faire.

2) Vous devez toujours recueillir les consentements, même si vous ne souhaitez pas traiter de données personnelles

Même si vous ne voulez pas traiter de données personnelles, il y a une embrouille. Dans Google Analytics, chaque utilisateur est enregistré avec un identifiant unique. Grâce à cet identifiant, Google Analytics vous donne un aperçu du nombre de personnes qui visitent votre site et, par exemple, combien d’entre elles y reviennent. Conformément au RGPD, ces identifiants en ligne sont considérés comme des données personnelles.

Vous voulez en savoir plus sur les informations et données personnelles ? Téléchargez cet aide-mémoire utile :
What is PII, non-PII and personal data? And how to protect each

Pour éviter d’envoyer des données personnelles à Google Analytics, Google vous conseille d’exploiter l’exigence de hachage minimale avec l’algorithme SHA256. Vous trouverez ici les guides de Google sur les bonnes pratiques permettant d’éviter l’envoi d’informations personnelles et d’anonymiser les adresses IP

Cependant, en vertu du RGPD, les données hachées sont toujours considérées en tant que des données personnelles et vous avez besoin d’un consentement valide du visiteur pour les collecter et traiter. Cela peut entraîner de graves pertes de données, car de 30 à 70 % de visiteurs ne consentent pas à pister leurs données personnelles.

Sinon, vous pourriez passer à un produit qui vous permet d’éviter les données personnelles et les responsabilités que leur collecte implique. La meilleure façon de le faire est d’utiliser des méthodes d’anonymisation avancées. Découvrez comment effectuer des analyses utiles sans données personnelles : See how to do useful analytics without personal data.

3) Google Analytics n’a pas de système de consentement fiable 

Ainsi nous sommes amenés au sujet suivant : la gestion des consentements de visiteurs et des demandes de données. 

Google a d’abord essayé d’assigner la tâche aux éditeurs et aux utilisateurs de Google Analytics. Pourtant, un récent accord entre Google et l’IAB Europe signale un changement dans leur approche. Le premier résultat de la collaboration est Funding Choices : une plateforme de gestion du consentement dédiée aux grands éditeurs qui monétisent leur inventaire de données via les produits Google. 

Malheureusement, bien que l’outil s’intègre à AdManager et à AdMob de Google, il n’offre aucune solution pour gérer les données d’analyse. Cela signifie que les utilisateurs qui souhaitent collecter des informations sur les visiteurs à l’aide de Google Analytics doivent toujours trouver leur propre façon de gérer les consentements et les demandes de données.

4) Par défaut, Google utilise les données visiteurs à ses propres fins

Il y a aussi un problème de propriété des données. Google utilise les données de Google Analytics pour améliorer ses services. Les informations que les utilisateurs recueillent dans la plateforme sont partagées avec les utilisateurs d’autres produits Google, tels que :

  • Google Ads 
  • Youtube
  • Google AdSense

Vous pouvez le lire notamment dans la Politique de confidentialité et conditions d’utilisation de Google :

De nombreux propriétaires de sites Web et d’applications font appel aux services Google pour améliorer leur contenu et maintenir leur gratuité. Lorsqu’ils intègrent nos services, ces sites et applications partagent des informations avec nous.

Par exemple, lorsque vous consultez un site Web qui utilise des services publicitaires tels qu’AdSense (y compris des outils d’analyse comme Google Analytics) ou intègre du contenu vidéo provenant de YouTube, votre navigateur Web nous transmet automatiquement certaines informations. Il s’agit, par exemple, de l’URL de la page que vous consultez et de votre adresse IP. Nous pouvons également déposer des cookies dans votre navigateur ou lire ceux qui sont déjà présents. Les applications qui utilisent nos services publicitaires partagent également des informations avec nous, telles que le nom de l’application et un identifiant publicitaire unique.

Les données fournies par les utilisateurs de Google Analytics permettent à Google de procéder au profilage des utilisateurs. En rassemblant des données provenant de plusieurs sources, Google est capable de déterminer des caractéristiques d’utilisateur, telles que leurs sexe et emplacement. Ces données sont ensuite publiées dans des rapports. 

De plus, grâce au fait que vous avez le code de suivi Google Analytics sur votre site Web, les annonceurs de Google Ads connaissent les préférences de vos visiteurs en fonction du contenu qu’ils consomment. Cela, à son tour, lui permet de cibler ces utilisateurs avec de la publicité.

En tant que propriétaire du site, vous acceptez cela par défaut dans les paramètres de partage de données :

Pour toute organisation qui exige une confidentialité totale des données, cela peut être alarmant. Plus il y a d’entités qui ont accès à vos données, plus grand devient le risque que leur sécurité soit compromise. En outre, l’utilisation des données visiteurs à toutes ces fins nécessite un consentement. Mais il n’y a aucun moyen de faire dépendre la collecte de données du consentement du visiteur. 

C’est pourquoi la meilleure option est de désactiver le partage des données. Néanmoins, vous perdez ainsi l’accès à de nombreuses fonctionnalités, y compris les intégrations avec les produits Google Ads et les rapports de données démographiques. 

5) Google Analytics stocke vos données sur des serveurs à distance

Enfin, parlons de la résidence des données. Les utilisateurs de Google Analytics voient leurs données dispersées dans des centres de données de cloud public sélectionnés au hasard, dont la plupart sont situés aux États-Unis (Google Data Center Locations).

Pour garantir la sécurité de ces transferts de données entre l’UE et les États-Unis, Google s’appuyait auparavant sur le cadre du bouclier de protection des données UE-États-Unis (EU-US Privacy Shield).

Mise à jour : Depuis le 16 juillet 2020, le bouclier de protection des données n’est plus un cadre juridique valide pour le transfert de données depuis l’UE et la Suisse vers les États-Unis. Cependant, la situation évolue rapidement. Ici nous avons publié un article (en anglais) au sujet de cette décision. Nous le mettrons à jour dès qu’il y a des changements.

Cela signifie que pour garantir la légalité de votre traitement de données avec Google Analytics, vous devrez signer une CCT, clause contractuelle type (en anglais : Standard Contractual Clause, SCC), avec Google. En effet, cette solution est déjà adoptée par Google :
[…] Google s’appuiera sur les clauses contractuelles types pour les transferts de données pertinents, qui, selon la décision, peuvent continuer à être un mécanisme juridique valide pour transférer des données en vertu du RGPD. Nous partagerons plus d’informations sur ces mises à jour (y compris les délais) dès que possible. [source]

Cela dit, vous devez savoir que les CCT vous imposent de lourdes obligations en tant que responsables du traitement de données. Elles transfèrent la responsabilité du maintien des normes de confidentialité des données à vous, le signataire du contrat. Suivant la déclaration du Comité européen de la protection des données (European Data Protection Board’s statement) :

Lorsqu’il effectue cette évaluation préalable, l’exportateur (si nécessaire, avec l’aide de l’importateur) prend en considération le contenu desdites clauses, les circonstances spécifiques du transfert et le régime juridique applicable dans le pays de l’importateur.

S’il résulte de cette évaluation que le pays de l’importateur ne garantit pas un niveau de protection substantiellement équivalent, il est possible que l’exportateur doive envisager de mettre en place des mesures qui viendront s’ajouter à celles prévues dans les clauses contractuelles types. Le comité européen de la protection des données examine de manière plus approfondie en quoi ces mesures additionnelles pourraient consister.

Cela rend les risques pour les entreprises individuelles beaucoup plus élevés qu’ils ne l’étaient sous le bouclier.

Pour cette raison, de nombreuses autorités chargées de la protection des données, dont l’Autoriteit Persoonsgegevens des Pays-Bas et le commissaire à la protection des données du Land de Hambourg, s’inquiètent du transfert de données vers des pays sans législation rigoureuse sur la confidentialité des données (Comments of the European supervisory authorities on Schrems II). Par exemple, ils déclarent qu’en l’absence d’une loi générale sur la confidentialité des données, le pays ne fournit pas de niveau de la protection comparable à celui assuré par le RGPD.

Pour le moment, il semble que la meilleure façon d’aborder cette question soit de suivre les réglementations en matière de confidentialité et d’attendre que les législateurs européens formulent un avis plus clair sur le sujet.

Google Analytics et RGPD : quelles alternatives ? 

Nous espérons qu’avec ce texte, nous avons réussi à dissiper au moins certains de vos doutes concernant Google Analytics et le RGPD. En attendant, si vous souhaitez comparer Piwik PRO avec Google Analytics, voici un livre blanc utile : Piwik PRO vs. Google Analytics: The Ultimate Guide to Choosing the Right Web-Analytics Tool

Et si vous avez d’autres questions, n’hésitez pas à contacter notre équipe. Nous serons ravis de vous montrer comment nous pouvons vous aider à effectuer des analyses de haute qualité et respecter les lois sur la confidentialité !

Author

Karolina Lubowicka

Content Marketer

Content Marketer and Social Media Specialist at Piwik PRO. An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

See more posts by this author

Core – a new plan for Piwik PRO Analytics Suite

Privacy-compliant analytics, built-in consent management and EU hosting. For free.

Sign up for free