RGPD, ePrivacy et transfert des données aux US : que faire avec Google Analytics ?
Article publié le 8 juin 2022 par Nicolas Chollet
⚠️ Attention : cet article est une réaction “à chaud” aux dernières publications de la CNIL. Les choses peuvent changer rapidement. Suivez moi sur Linkedin pour les mises à jour 😀
Suite aux dernières annonces de la CNIL, en particulier concernant le transfert de donnée aux Etats-Unis, on me demande souvent ce que je recommande de faire.
Cet article concerna aussi bien Google analytics “universal)” (GA3) que GA4, même si GA4 a probablement plus d’avenir, Google ayant déjà fait de nombreux progrès en terme de privacy et de localisation de la donnée en Europe.
Cet article n’a pas pour objectif de retracer le contexte, les interprétations, etc… simplement de partager ce qui n’est qu’une analyse personnelle. A savoir :
- Quelles sont les options qui s’offrent à un éditeur de site aujourd’hui
- Quels sont les impacts possibles de ces décisions
1. Contexte simplifié
Pour faire très simple, il y a deux sujets différents :
- Le RGPD, qui nécessite de demander le consentement pour poser des cookies ou traceurs
- La directive ePrivacy, et en particulier le problème du transfert de données personnelles aux Etats-Unis
La conséquence est différente. Dans un cas (RGPD), on perd le tracking d’une partie de l’audience (celle qui n’a pas accepté le tracking). Dans l’autre cas, le risque est de devoir supprimer tout simplement Google analytics de son site.
2.1 RGPD
Google analytics ne fait pas partie des outils exemptés (ou exemptables) de consentement par la CNIL. Cette liste se trouve ici :
Cookies : solutions pour les outils de mesure d'audience
Dans quels cas les cookies sont-ils exemptés de consentement ? Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l'article 82 de la loi Informatique et Libertés, ces traceurs doivent :
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience
La conséquence est que les données collectées sont incomplètes, puisqu’elles excluent une partie de l’audience.
💡 Chez UnNest, nous recommandions déjà de mettre en place, en parallèle de Google analytics, une solution exemptée de consentement pour avoir une référence.
Parmi les solutions exemptées de consentement, citons Matomo (open source ou cloud), Piwik pro ou encore AT Internet / Piano.
A noter que si on retire de ces solutions celles qui ont des capitaux américains (Piano analytics par exemple), ou en allant plus loins celles qui sont hébergées sur des serveurs d’entreprises américaines (AWS pour Piwik pro et pour Matomo cloud par exemple), il ne reste pas grand chose mis à part de l’auto-hébergement (Piwik pro auto-hébergé) et de l’open source (Matomo)
2.2 Transfert des données aux US
Dans ce dernier article publié le 7 juin 2022, la CNIL met un stop à la plupart des solutions de contournement qu’avaient commencé à proposer les agences d’analytics :
Questions-réponses sur les mises en demeure de la CNIL concernant l'utilisation de Google Analytics
Google Analytics et transferts de données : comment mettre son outil de mesure d'audience en conformité avec le RGPD ? Le 10 février 2022, la CNIL, après un processus de coopération avec ses homologues européens, a mis en demeure plusieurs organismes utilisant Google Analytics en raison des ...
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics
Pour faire (très) simple :
- Il n’existe quasiment aucune option pour que Google analytics puisse être légal en Europe dans le cadre réglementaire actuel.
- La seule option serait d’utiliser un proxy (donc tracking server-side), pour masquer la donnée avant envoi dans Google analytics.
Quel est le risque à conserver Google analytics en l’état ?
Le risque semble finalement relativement réduit : si la CNIL vous met en demeure, vous aurez 1 mois pour vous “mettre en conformité, c’est à dire supprimer Google Analytics du site.
C’est malgré tout problématique, car vous devrez alors déployer en urgence une autre solution d’analytics… sans historique de donnée. Ceci dit, cela pourrait changer, avec pourquoi pas des amendes, mais nous n’en savons rien encore.
2. Les options
2.1 Option 1 : ne rien faire
Ne rien faire, c’est à dire :
- Conserver Google analytics (Universal Analytics et GA4 en général)
- Bien gérer le consentement (on part du principe que vous avez une CMP, bien configurée)
Quel est le risque ?
Dans ce cas, le risque que vous prenez est de devoir supprimer Google Analytics sous un délai d’un mois, lorsque vous recevrez une mise en demeure de la CNIL
Quelle est la probabilité du risque ?
C’est difficile à dire. Il serait très simple pour la CNIL d’envoyer des milliers de mises en demeures automatiquement, comme par exemple cela avait été fait pour Hadopi.
Pour le moment, cela ne s’est jamais produit, mais pourquoi pas ?
Quel est notre conseil ?
Mettre en place le plus vite possible une solution de mesure d’audience exemptée de consentement en parallèle. Cela aura 2 bénéfices :
- Vous aurez une mesure d’audience plus complète (car sans consentement)
- Vous aurez un back up si jamais vous devez retirer Google analytics un jour.
2.2 Option 2 : essayer d’implémenter Google analytics au plus près des recommandations CNIL
Dans ce cas, la solution est la suivante :
- Passer à GA4 uniquement
- Passer au tracking server-side (GTM server-side par exemple)
- Minimiser au maximum les données personnelles envoyées à GA4
En faisant cela, vous avez plusieurs avantages par rapport à l’option précédente
- Si la CNIL lance des mises en demeure automatiques basées sur la présence du script Google analytics, vous passerez sous les radars
- En cas de contrôle effectif de la CNIL, vous aurez une chance de défendre votre position, car vous vous approchez d’un déploiement tel qu’il est conseillé par la CNIL
- Vous bénéficiez des autres avantages du tracking server-side (cf notre article dédié)
Quel est le risque ?
Comme précédemment, le risque que vous prenez est de devoir supprimer Google Analytics sous un délai d’un mois, lorsque vous recevrez une mise en demeure de la CNIL. Vous aurez aussi l’option, si vous êtes joueur, de défendre votre position.
Quelle est la probabilité du risque ?
A priori moins fort que dans l’option précédente, car l’utilisation de Google analytics est moins facilement identifiable de manière automatique.
Quel est notre conseil ?
- D’une part vous faire accompagner (par UnNest 😁) pour le déploiement de GA4 en server-side, pour savoir comment effectuer les bons réglages, tout en sachant pourquoi vous le faites.
- D’autre part, déployer en parallèle un outil de mesure exemptée, pour les mêmes raisons que pour l’option 1 (mesure plus fiable et backup en cas de suppression de GA4)
2.3 Option 3 : supprimer Google analytics
Si vous en avez marre de vous poser la question à chaque nouvelle décision de la CNIL, ou si les sujets de “Privacy” sont très importants pour vous, alors il est peut-être temps de vous séparer de Google Analytics.
Chez UnNest, nous avons réalisé un webinar pour
- Présenter Matomo analytics (disponible en replay ici : https://app.livestorm.co/unnest/tout-savoir-sur-matomo-presentation-et-exemples-concrets)
- Présenter un benchmark de 3 alternatives à Google analytics : Matomo, Piwik pro et AtInternet / Piano analytics
Pour ce qui est de l’analyse d’audience, vous ne perdrez pas grand chose. En effet, ces solutions sont des alternatives tout à fait sérieuses à Google analytics, présentant des fonctionnalités très similaires.
En revanche, les principaux intérêts de GA4 auxquels vous devrez renoncer sont :
- La connexion native avec les autres outils Google (an particulier Google Ads, Merchant Center, etc..)
- L’export des données brutes vers Google BigQuery
💡 Dans tous les cas, contactez-nous si vous souhaitez étudier votre situation particulière et les alternatives