Google Analytics et la CNIL : 3 min pour comprendre

3 minutes pour mieux comprendre ce qu'il se passe avec Google Analytics et la CNIL

Thématiques

Nouveautés Web

En bref

La nouvelle est tombée : utiliser Google Analytics sur son site n’est plus conforme avec le RGPD. La CNIL invite l’ensemble des éditeurs de sites et applications mobiles à prendre de nombreuses mesures qui ne sont pas sans conséquence. Pourquoi cette décision ? Comment réagir ? Quelles solutions existent ? Prenez trois minutes pour mieux comprendre la nouvelle et l’aborder avec sérénité. 🧘🏼

Un mouvement au sein de l’UE 🇪🇺

Plusieurs autorités européennes œuvrant pour la protection des données se sont récemment insurgées contre Google Analytics. Le Portugal, la Norvège ainsi que l’Autriche ont pris des décisions inédites, et la CNIL vient de rejoindre le mouvement. C’est l’association NOYB (None Of Your Business) qui a déposé une centaine de plaintes auprès des différentes autorités compétentes en Europe. On retrouve sur le site de l’association, l’ensemble des sites où ont été menés des tests (relatifs à l’envoi des données à Google) et les plaintes qui y sont associées. Au vu du nombre de sites concernés en Autriche, on comprend rapidement pourquoi ce pays a pris une décision si drastique, plus rapidement que la France. Ces plaintes s’appuient sur les article 44 et 58 du RGPD et appellent à :

Mener une enquête pour savoir quelles sont les données envoyées à Google et comment elles lui sont transmises.
Interdire l’utilisation du service de webanalytics Google.
Infliger une amende.

Le rapport remet également en cause l’utilisation du Facebook Connect. Vous rappelez-vous cette formidable option permettant de se connecter à un site via son compte Facebook ? C’est elle ! De nombreux pays européens doivent aujourd’hui considérer ces plaintes et prendre position face à cela.

Concrètement, quel est le problème ?

Ce qui gène la CNIL, c’est le fait qu’il y a des données, dites “primaires” qui doivent nécessairement être récupérées pour délivrer un service, et des données dites “secondaires”, qui ne le doivent pas forcément. L’autorité considère comme “primaires”, et donc exemptés de consentement, les données suivantes :

la mesure des performances ;
la détection de problèmes de navigation ;
l’optimisation des performances techniques ;
l’optimisation de l’ergonomie du site ;
l’estimation de la puissance des serveurs nécessaires ;
l’analyse des contenus consultés.

Les données “secondaires” seront exploitées pour afficher des publicités personnalisées, partager du contenu sur les réseaux sociaux, ou encore afficher des produits en fonction des centres d’intérêts de l’internaute. C’est là que le bât blesse, et qu’il est nécessaire de demander son accord au visiteur. Face à ce constat, la CNIL demande donc désormais à tous les éditeurs de sites et applications mobile, d’obtenir le consentement explicite de l’utilisateur pour pouvoir utiliser Google Analytics.. À partir du mois d’avril 2022, il ne sera donc plus possible :

de déclencher Google Analytics sans le consentement explicite de l’internaute (correspond au clic sur le bouton accepter),
de considérer la poursuite de la navigation comme un consentement implicite,
d’interdir l’accès au contenu sous réserve d’acceptation des cookies,
de réaliser de l’A/B testing auprès des utilisateurs n’y ayant pas consenti.

Quel plan d’action ?

Avant de rentrer dans les détails, petit rappel pour tous : il est indispensable d’avoir une solution CMP (Consent Management Plateforme) installée sur son site. Cela permet d’obtenir les consentements et de les stocker afin d’être en totale capacité de les communiquer si enquête il y a. Première action : Il faudra désormais activer Google Analytics uniquement pour les visiteurs ayant donné explicitement leur accord. Pour restreindre le champ d’action de Google Analytics à ce type de visiteurs, il faudra réaliser plusieurs actions comme par exemple :

la configuration des cookies et des tags insérés dans le code source pour restreindre au strict nécessaire la collecte de données ;
la limitation de la durée de vie des cookies et de conservation des données.

Deuxième action : opter pour une seconde solution de webanalytics ne nécessitant pas de consentement préalable. La CNIL a partagé sur son site, une liste de solutions qui auront le mérite de vous donner une vue sur les performances globales de votre site.

Et Google dans tout ça ? Une réaction ?

Il n’y a pas eu de réaction claire de la part du géant, espérons qu’elle ne tarde pas à arriver. En guise de teaser, Kent Walker, Président des affaires mondiales et directeur juridique d’Alphabet; explique qu’il est l’heure d’adopter un nouveau cadre de transfert de données entre l’Union européenne et les États-Unis. Il ajoute qu’il convient de créer “un cadre durable. C’est à dire un cadre qui assure la stabilité des entreprises offrants des services précieux en Europe”.

La solution attendue par le plus grand nombre serait que Google adapte son produit Analytics pour répondre aux restrictions formulées dans le RGPD. Cela limiterait les plans d’actions interminables et effrayants pour conserver Google Analytics et ne pas avoir à installer une deuxième solution. En parlant d’autres solutions, Matomo, AT Internet et Piwik font de plus en plus de bruit. Nous n’avons personnellement pas encore pu nous faire un avis sur ces outils mais nous n’hésiterons pas à conseiller nos clients lorsque nous aurons davantage de recul sur le sujet. 🙂 Découvrez la suite de notre article sur GA4 vs la CNIL sur notre blog !