Rappel du contexte : CNIL vs Google Analytics

Aujourd’hui, l’utilisation de Google Analytics est soumise à deux contraintes, provenant toutes les deux de la directive ePrivacy (et par extension du RGPD). Il ne faut pas confondre les deux sujets :
  • Le sujet du consentement : c’est à dire la nécessité de demander le consentement pour poser des cookies ou traceurs.
  • Le sujet du transfert de données personnelles aux Etats-Unis, pour lequel Google Analytics a été considéré “illégal” par la CNIL et les autres autorités Européennes.
Les 2 sujets ont des fondements et des conséquences différentes
Les 2 sujets ont des fondements et des conséquences différentes

A propos du consentement

En suivant certaines règles, les outils de mesure d’audience peuvent être exemptés de consentement. Aujourd’hui Google Analytics ne déroge pas aux exigences de consentement prônées par la CNIL et doit donc être soumis aux choix des visiteurs.
💡
La principale conséquence est que les données collectées se retrouvent incomplètes, puisqu’elles excluent une partie de l’audience.

A propos du transfert des données aux US

Que reproche-t-on à Google Analytics ?
La CNIL considère que l’identifiant unique attribué à chaque visiteur par Google Analytics est une donnée personnelle et que cet identifiant et les données associées sont transférés aux États-Unis alors que les lois américaines autorisent trop facilement l’accès des services de renseignements américains aux données personnelles. Les règles de protection des données personnelles en Europe ne sont donc pas respectées.
Dans cet article publié le 7 juin 2022, la CNIL met un stop à la plupart des solutions de contournement qu’avaient commencé à proposer les agences d’analytics :
Questions-réponses sur les mises en demeure de la CNIL concernant l'utilisation de Google Analytics
Google Analytics et transferts de données : comment mettre son outil de mesure d'audience en conformité avec le RGPD ? Le 10 février 2022, la CNIL, après un processus de coopération avec ses homologues européens, a mis en demeure plusieurs organismes utilisant Google Analytics en raison des ...
Questions-réponses sur les mises en demeure de la CNIL concernant l'utilisation de Google Analytics
En ces termes :
  • Il n’existe quasiment aucune option pour que Google Analytics puisse être légal en Europe dans le cadre réglementaire actuel.
  • La seule option serait d’utiliser un proxy (donc tracking server-side), pour masquer la donnée avant envoi dans Google Analytics.
Dans un article complémentaire publié en juin 2022, la CNIL propose un guide de configuration permettant de continuer à utiliser Google Analytics en conformité avec le RGPD.

📖 En détails

Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? | CNIL
La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l’Union européenne et les États-Unis.
La CNIL a établi une liste de paramètres à implémenter afin de mettre Google Analytics 4 en conformité avec les directives citées précédemment :
  • l’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure.
  • le remplacement de l’identifiant utilisateur par le serveur de proxyfication. 
  • la suppression de l’information de site référent (ou « referrer ») externe au site 
  • la suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) 
  • le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), tels que les « user-agent », pour supprimer les configurations les plus rares pouvant mener à une réidentification 
  • l’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, unique ID
  • la suppression de toute autre donnée pouvant mener à une réidentification.
👉
Au sein de cet article, nous vous proposons de revenir brièvement sur les recommandations de la CNIL et surtout, de vous livrer notre analyse.

Notre analyse de la proxyfication

En respectant à la lettre l’ensemble des indications de la CNIL citées précédemment, l’utilisation de Google Analytics à des fins d’analyse et d’optimisation d’actions marketing se retrouve fortement limitée.
En effet la collecte d’un identifiant unique visiteur ainsi que les détails liés à l’origine de l’arrivée sur le site (site référent et paramètres de tracking de type “utm”) sont des éléments indispensables pour l’analyse et l’optimisation des campagnes d’acquisition et le calcul précis du ROAS (Return On Ad Spend) par exemple.
Néanmoins la discussion autour du caractère privé et identifiable de ces informations étant réelle et valable, il reste toujours possible de défendre et justifier selon les cas la collecte de ces données auprès de la CNIL.

Analyse des différents points

💡
Il s’agit de notre analyse de ce sujet, qui peut bien entendu être soumise à discussion
Dans tous les cas, lorsque nous mettons en place ou reprenons une implémentation Analytics, notre philosophie reste la même. Il s’agit de proposer les meilleures solutions techniques et fonctionnelles au regard du contexte (besoins métiers, contraintes techniques, etc.) tout en :
  • S’assurant d’avoir obtenu le consentement requis pour les finalités visées.
  • Limitant la collecte de données en fonction des besoins
  • Documentant les choix réalisés et l’implémentation technique
Notre recommandation
Analyse
Notre Recommandation
Impact
Absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure
Sujet normal et classique, proposé maintenant nativement par GA4
Anonymiser les IPs (3 derniers caractères habituellement).
Fait perdre en précision de localisation (à la maille de la région vs la ville avec l’IP)
Le remplacement de l’identifiant utilisateur par le serveur de proxyfication
La CNIL estime que Google n’apporte pas de preuve qu’ils ne croisent pas cette donnée avec d’autres données tierces
Ajouter une clé de chiffrement avant envoi de l’ID.
La suppression de l’information de site référent (ou « referrer »)
ℹ️ Au cas par cas
Proposition surprenante de la CNIL. Les outils du marché (Safari, Adblockers…) choisissent plutôt de limiter le referrer au nom de domaine pour éviter des pratiques de tracking par redirection
Réduire le referrer au nom de domaine, qui est simplement une mesure statistique de l’audience.
- Si suivi de la recommandation CNIL : l’outil ne sert plus à rien ou presque. - Si suivi de notre recommandation : aucun. C’est déjà le cas via Safari
La suppression de tout paramètre contenu dans les URL collectées
ℹ️ Au cas par cas
Comme précédemment. Il est légitime de souhaiter enlever des paramètres d’URL des informations personnelles (dont des Ids). Mais pas les informations générales, par exemple un utm_campaign
Enlever les paramètres au cas par cas, si ils peuvent contenir des données personnelles ou identifiables. - Pour nous les utm ne font pas débat et peuvent être conservés s’ils sont gérés correctement. - La question se pose pour les Ids de clic publicitaire (fbclid et gclid)
- Si suivi de la recommandation CNIL : l’outil ne sert plus à rien ou presque - Si suivi de notre recommandation : peu d’impact. En cas de suppression du gclid, il faudra alors taguer les campagnes Google Ads avec des utms puisque l’auto-tagging ne sera plus effectif.
Le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint)
Demande légitime et classique, qui sera nativement implémenté dans les navigateurs dans le futur.
- Supprimer les informations inutiles du user agent
Très faible (perte des informations granulaires, par exemple le modèle précis de téléphone).
L’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, unique ID)
🚫
Selon nous, cette demande n’a aucun sens dès lors que le consentement est obtenu. En effet, ces IDs ne peuvent pas être utilisés par Google pour d’autres croisements de données.
Ne pas l’appliquer
- Si suivi de la recommandation CNIL : les analyses de contribution, et de suivi par ID client (projet en cours) deviennent caduques. - Si suivi de notre recommandation : aucun impact
La suppression de toute autre donnée pouvant mener à une réidentification.
ℹ️ Au cas par cas
Demande légitime dans son principe, mais limitée dans son action si on a le consentement

Comment mettre en place la proxyfication ?

Afin de faciliter la mise en place de la proxyfication en fonction de notre analyse, nous avons préparé un guide complet sur le sujet, avec un conteneur GTM tout prêt à importer !
Le tout est disponible ici :
GA4 et proxyfication - Mise en place techniqueGA4 et proxyfication - Mise en place technique
Un certain nombre de ressources sur Internet proposent également des guides sur le sujet, plus généralistes. Nous citerons notamment AddingWell, dont la documentation technique est très précise.
Documentation Addingwell
Documentation Addingwell