Est-ce que mon Google Analytics est conforme au RGPD ?

Eric Bouchet
Rédigé par Eric Bouchet
24 janvier 2022 - 4 minutes

Début janvier 2022, un mini-séisme a secoué le microcosme analytics européen. En effet, l’autorité autrichienne chargée de la protection des données a jugé l’utilisation de Google Analytics illégale et contraire au RGPD.

Pourquoi ?

Et dans quelle mesure ?

Cette décision fait suite à plusieurs dépôts de plaintes par l’ONG noyb. Elle s’appuie notamment sur le transfert de données entre l’UE et les Etats-Unis. En effet, le « Privacy Shield » américain est jugé non conforme à la législation européenne sur la protection des données.

Et comme Google transfère les données Analytics vers les Etats-Unis, Analytics est déclaré illégal.

CQFD.


Donc j’arrête Google Analytics ?

D’abord, il faut se mettre d’accord sur le délit.

Dans un long plaidoyer, Google a publié un droit de réponse où certains faits sont rappelés. Nous les reproduisons ici tels quels, simplement traduits en français :

  • Google Analytics est un service utilisé par les organisations pour comprendre comment leurs sites et applications sont utilisés, afin qu’ils puissent les faire mieux fonctionner. Il ne suit pas les personnes, ni ne fait de profilage sur leur navigation
  • Les organisations contrôlent les données qu’elles collectent avec Google Analytics
  • Analytics aide les clients dans leur conformité en leur fournissant une gamme de contrôles et ressources
  • Analytics aide les utilisateurs à contrôler leurs données
  • Google Analytics ne peut pas être utilisé pour montrer des publicités basées sur des informations sensibles telles que la santé, l’ethnie, l’orientation sexuelle, …
  • Les données Analytics d’une organisation sont transférée uniquement quand des conditions de confidentialité spécifiques et rigoureuses sont respectées

🤔 Alors, tous responsables, tous coupables ?

Sur l’ensemble de ces éléments, de nombreux commentateurs ont dit que Google rejetait la responsabilité sur ses clients (organisations) et utilisateurs.

De fait, nous savons depuis longtemps qu’il est de notre responsabilité, sites utilisateurs de Google Analytics, d’effectuer certains réglages pour que les données collectées soient le plus respectueuses de la vie privée.

Cela commence par l’anonymisation des adresses IP. Qui est d’ailleurs devenue un paramètre par défaut dans Analytics 4, alors qu’elle est en option sur Universal Analytics.

Ce sont aussi tous les réglages concernant la durée de vie des cookies, ou les liens entre Google Analytics et Google Ads.

Chez Eficiens, nous sommes sur le pont depuis début 2018 et l’arrivée du RGPD.

Nous en parlons d’ailleurs dans notre article sur la Consent Management Plaform. Nous expliquons notamment comment nous avons rendu, dès 2018, notre Analytics RGPD-compatible. Avec les deux points d’attention suivants : les adresses IP et le nettoyage de toutes données personnelles des remontées Analytics.

Google Analytics Consent Management Platform CMP RGPD

Et le consentement dans tout ça ?

Le plus surprenant, en effet, dans cette décision, c’est que l’activation de Google Analytics passe de toute façon par la première étape : le bandeau cookies.

C’est un sujet qui n’est pas du tout abordé dans les articles concernant l’arrêté autrichien. Mais en terme de contrôle utilisateur, on pourrait répliquer que ce choix est donné dès le début.

En effet, chaque internaute peut refuser le cookie Analytics.

Eficiens Tarte au Citron Cookies Google Analytics

Maintenant, si tous les internautes refusent les cookies Analytics, nous allons devoir trouver une alternative pour suivre la performance des sites internet. Mais c’est un autre sujet.

Dois-je mettre en place une alternative à Google Analytics ?

Quelques jours après l’annonce de l’autorité autrichienne, deux solutions se dessinent

1. J’installe dès maintenant un analytics conforme pour construire un historique de données

Sur sa page « Cookies : solutions pour les outils de mesure d’audience« , la CNIL référence pas moins de 14 solutions exemptées de consentement. Vous n’aurez donc aucune difficulté à trouver une alternative à Google.

Même si cela implique de revoir le plan de tag. Et d’apprendre une nouvelle interface, et souvent une nouvelle terminologie.

L’idée ici, est bien de constituer un « double tracking », au cas où Google Analytics soit définitivement banni.

2. Google apporte des modifications à Analytics pour continuer de l’utiliser en Europe

On voit mal la solution Analytics disparaître totalement du paysage européen. On peut donc espérer une résolution technique. Celle-ci pourrait avoir un impact sur la collecte de données de nos sites internet, en limitant certaines informations trop détaillées.

C’est d’ailleurs déjà le cas pour les solutions exemptées de consentement présentées plus haut.

Nous mettrons à jour cet article avec les derniers développements.


Sources

Le Monde Informatique , article du 13 janvier 2022 : https://www.lemondeinformatique.fr/actualites/lire-l-usage-de-google-analytics-viole-le-rgpd-selon-la-cnil-autrichienne-85426.html

L’usine digitale, article du 14 janvier 2022 : https://www.usine-digitale.fr/article/est-ce-la-fin-de-google-analytics-en-europe.N1773702

Google, article du 13 janvier 2022 : https://blog.google/around-the-globe/google-europe/google-analytics-facts/

Aucun commentaire sur cet article. Soyez le premier !

Laissez votre commentaire