Le 10 février 2022, la Commission nationale de l’informatique et des libertés (CNIL) a pris une décision mettant en demeure un site web utilisant Google Analytics. Ce site doit se conformer au Règlement général sur la protection des données (RGPD), en cessant si nécessaire l’utilisation de l’outil. Pour cause, le géant californien ne respecterait pas assez les règles relatives à la protection des données en Europe. Cette décision intervient quelques semaines après celle de l’autorité autrichienne de protection des données qui a déclaré illégale l’utilisation en continu de Google Analytics. On peut se demander ce que reprochent concrètement les instances européennes à Google. Cette vague d’avertissements peut possiblement marquer la fin de l’utilisation de Google Analytics en Europe. On peut aussi se demander si l’outil est réellement considéré comme illégal au sens du RGPD. Je vous montre également les alternatives pour les gestionnaires de sites qui souhaitent suivre les performances de leurs pages.

Comprendre le fonctionnement de Google Analytics

Google Analytics est un outil du moteur de recherche californien qui sert à l’analyse des performances d’un site web à travers différentes métriques ainsi que des rapports détaillés. Il fournit des informations précises au sujet de l’audience ou des visiteurs du site :

  • les sources de trafic,
  • le nombre de visites sur une période donnée,
  • la durée moyenne qu’effectuent les visiteurs sur les pages du site,
  • le pourcentage des utilisateurs qui quittent le site après avoir vu une seule page,
  • les terminaux qu’utilisent les utilisateurs pour accéder aux pages du site,
  • le taux de conversion (le pourcentage des utilisateurs qui effectuent une action désirée).

La finalité de Google Analytics, comme tout autre outil de ce genre, est d’aider le gestionnaire de site dans la prise de décision. Les données qu’elle collecte et traite permettent d’analyser le comportement des internautes (client ou futurs clients) et d’adapter la stratégie marketing de l’entreprise en fonction de ce comportement. Ces données offrent la possibilité d’augmenter ainsi le chiffre d’affaires que génère le site.

Google Analytics illégal en Europe : explications, causes et alternatives !

Comment les données sont-elles collectées et exploitées par Google ?

Pour pouvoir analyser les comportements de chaque visiteur d’un site et fournir des statistiques aussi précises aux entreprises, Google Analytics utile le langage JavaScript. L’outil insère dans le code source de chaque page web une balise JavaScript (une sorte de traceur). Celle-ci s’exécute dans le navigateur des visiteurs pour collecter les données de ces derniers, y compris toutes leurs actions, et les envoyer au serveur de Google. Tout le système est basé sur les cookies. Ces derniers sont des fichiers textes stockés dans l’ordinateur de chaque utilisateur et contiennent des informations d’identification (informations personnelles) de celui-ci. Lorsqu’un utilisateur désactive les cookies sur son navigateur, il empêche donc Google Analytics (et tout autre outil) de collecter ses données.

Le RGPD et Google Analytics : ce qu’il faut savoir

Le RGPD est le texte de référence qui régit la protection des données personnelles des utilisateurs d’internet dans les 27 pays de l’Union européenne. Selon les termes de ce règlement, le traitement de données des utilisateurs doit être nécessairement soumis à leur accord préalable. En d’autres termes, ils ont le droit de refuser qu’un site qu’ils visitent collecte leurs données et les traite à des fins publicitaires ou autres.

Or, le fonctionnement même de Google Analytics implique la mise en place sur les pages des sites web de traceurs. Ceux-ci collectent automatiquement les données des utilisateurs sans nécessairement obtenir leur consentement. L’utilisation de l’outil donne donc lieu à un suivi par défaut qui est clairement contraire à ce que stipule le RGPD.

Ce n’est toutefois pas la raison exacte pour laquelle la légalité de Google Analytics est aujourd’hui remise en cause par les instances européennes. La CNIL a rendu son verdict après une analyse portant sur un autre point sensible : le transfert des données collectées sur les sites utilisant Google Analytics.

Google Analytics : les raisons de la mise en demeure par la CNIL

La CNIL est l’organe administratif chargé de la défense de la vie privée des Français sur internet. Créée en 1978, elle veille au respect du RGPD et de la loi sur la protection des données du 6 janvier 1978. Sa récente décision de mettre en demeure un site de se conformer au RGPD (en cessant si nécessaire d’utiliser Google Analytics) fait suite à une centaine de plaintes déposée par l’association NYOB auprès de l’autorité. Ces plaintes concernaient le transfert des données collectées via Google Analytics vers les USA dans le cadre du Privacy Shield.

La cour de justice de l’Union européenne (CJUE) avait déjà rendu en juillet 2020 une décision (Schrems II) qui jugeait l’accord, permettant les transferts des données entre l’UE et les États-Unis, invalide. Les programmes de surveillances américains, qui ont été évalués dans le cadre de l’examen du Privacy Shield, ne sont en effet pas en conformité avec la législation européenne.

Sur la base de cette décision de la CJUE, la CNIL a estimé que le transfert des données collectées via Google Analytics vers les États-Unis pour traitement n’est pas assez encadré, en l’état actuelle des choses. Il existe en effet un risque réel que ces données puissent être utilisées par les services de renseignement américains. La régulation actuelle n’est en effet pas suffisante pour éviter cela.

google analytics rgpd

Le transfert vers les États-Unis des données à caractère personnel des visiteurs d’un site collectés par Google Analytics est donc une violation de l’article 44 (et des articles suivants) du RGPD. Ce dernier stipule que tout transfert de cette nature doit se faire sans que le niveau de protection des personnes soit compromis. Dans sa décision, la CNIL a donné un délai d’un mois au gestionnaire de site concerné pour se conformer au règlement.

Concernant les outils de web Analytics en général, la CNIL précise que leur utilisation par les gestionnaires de sites doit se faire exclusivement pour produire des données anonymes. Les sites web peuvent ainsi être dispensés de demander le consentement des visiteurs s’ils assurent qu’une utilisation illégale ne sera pas faite des données collectées de façon anonyme.

Dans sa décision du 10 février 2022, la CNIL n’a pas banni Google Analytics ou interdit formellement son utilisation par les gestionnaires de sites web en France. Elle a plutôt indiqué que l’implémentation de Google Analytics par le site web ayant fait l’objet des plaintes n’était pas conforme avec le RGPD. Le gestionnaire du site a donc été invité à se conformer au RGPD. Il peut soit cesser d’utiliser Google Analytics « dans les conditions actuelles », soit se tourner vers un autre outil qui n’implique pas le transfert des données hors UE.

Que peuvent faire les gestionnaires de sites web ?

Si vous êtes un utilisateur de Google Analytics, vous avez sans doute déjà entendu parler d’un éventuel bannissement à venir de l’outil. Vous êtes aussi sûrement au courant des ennuis (judiciaires et en termes d’image) que pourraient avoir les sites qui continuent d’utiliser cette solution de web Analytics. Face à cette situation, plusieurs précautions peuvent être prises, en attendant un dénouement.

Utilisez des alternatives à Google Analytics

Passer aux alternatives de Google Analytics est peut-être l’une des meilleures options pour éviter d’avoir des ennuis avec la justice en l’état actuelle des choses. Voici une liste des meilleures alternatives que j’ai sélectionnées pour vous.

outils web Analytics site

AT Internet Analytics

AT Internet Analytics est une solution française payante qui se veut une alternative efficace et fiable à Google Analytics. L’un des atouts de cet outil de web analytics est qu’il est entièrement conforme au RGPD. En plus de traiter l’ensemble des données sur le territoire européen dans le respect des protocoles de sécurité en vigueur, l’équipe qui la maintient s’engage à ne pas faire un usage commercial des données collectées. L’outil est également conçu de manière à avoir un impact écologique faible, avec une durée de stockage réduite. Il fournit des statistiques avancées par rapport à une multitude de KPI : trafic web, conversion…

Matomo

Matomo est une autre alternative dont les fonctionnalités sont plus ou moins proches de celles qu’offre Google Analytics. Cette solution open source garantit une excellente confidentialité des données en conformité avec le règlement européen. L’outil coûte 19 euros par mois et vous permet d’avoir le plein contrôle sur les données de vos utilisateurs que vous collectez. Certaines fonctionnalités de Google Analytics pouvant vous être utiles sont toutefois absentes de l’outil (les heat maps par exemple).

Fathom Analytics

Fathom Analytics est un outil canadien qui respecte la vie privée des internautes. Le traitement des données se fait sur des serveurs localisés en Allemagne dans le strict respect des réglementations européennes. Fathom Analytics est une solution payante, mais facile à utiliser et qui donne accès à des mesures simples. La grille tarifaire est définie en fonction du nombre de pages vues des sites.

Obtenir le consentement des internautes pour l’utilisation de Google Analytics

Pour ceux qui souhaitent continuer à utiliser Google Analytics, une des mesures obligatoires à prendre est d’obtenir le consentement express des utilisateurs pour l’utilisation de l’outil. Ce consentement ne doit pas être considéré comme acquis ou dispensé. Il est obligatoire et doit être systématique en l’état actuel des choses et tant que les données ne sont pas entièrement anonymisées.

Activer l’anonymisation de l’adresse IP des utilisateurs

Google Analytics propose une fonctionnalité d’anonymisation des adresses IP. Il est fortement recommandé de l’activer si vous souhaitez continuer à utiliser cet outil dans les conditions actuelles. Cette mesure a d’ailleurs été directement recommandée par l’autorité autrichienne de régulation des données.


Sources :

  1. https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply
  2. https://blog.didomi.io/en/is-google-analytics-illegal-in-europe-heres-what-you-need-to-know#two
  3. https://www.agence-churchill.fr/blog/google-analytics-illegal-pourquoi/