Devons-nous dire adieu à Google Analytics?
La CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics, en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens.
Quelles sont les conséquences pour les utilisateurs de Google Analytics, dont nous faisons partie, en tant que marketeurs, et communicants?
Tout d’abord ce qu’il faut comprendre c’est que la CNIL a mis en cause les gestionnaires de site web et non pas Google dans cette affaire. Cela signifie donc clairement que ce sont les propriétaires des sites web qui sont concernés.
Petit rappel sur les faits
Le 10 février 2022, la CNIL en accord avec l’Union européenne a adressé un ordre de mise en conformité à plusieurs organisations utilisant Google Analytics en raison de transferts illégaux de données vers les États-Unis.
Qu’est-ce qu’on reproche à Google Analytics ?
La CNIL considère que l’adresse IP attribuée à chaque visiteur par Google Analytics est une donnée personnelle et que cet identifiant et les données associées sont transférés aux États-Unis alors que les lois américaines autorisent trop facilement l’accès des services de renseignements américains aux données personnelles. Alors même si les européens et en l’occurence nos clients respectent l’anonymat des utilisateurs, Google récupère cette adresse IP sans notre consentement et c’est cela qui pose un problème. Les règles de protection des données personnelles en Europe ne sont donc pas respectées puisque nos données sont transférées vers les États-Unis où la loi autorise les services de renseignement à accéder à toutes les données en possession d’un hébergeur américain.
En résumé, les sites Web de l’Union Européenne et donc de Suisse devraient donc, soit modifier leur utilisation de Google Analytics, soit s’exposer à une application de la réglementation, qui pourrait inclure une injonction de modifier leurs processus et une sanction financière en cas d’infraction. Et il est probable que le risque d’amendes pour non-conformité augmente maintenant que les orientations réglementaires sur la question deviennent plus détaillées, car cela signifie qu’il y a moins d’excuses plausibles pour ne pas avoir fait les changements nécessaires.
J’utilise moi aussi Google Analytics, suis-je concerné par la décision ?
Oui. Toutes les sociétés l’utilisant sont soumises à la même interdiction. Avec la communication de la CNIL, plus aucune entreprise ne pourra dire qu’elle ne savait pas. Et la Suisse dans tout cela? Difficile de passer à côté, sachant que l’ensemble de nos sites internet ne connaissent pas le mot frontière….même si pour le moment, il est vrai que le risque est minime.
Alors on fait quoi?
Toutes les sociétés ont le choix soit d’attendre la mise en demeure, soit de se tourner vers un prestataire offrant des garanties de conformité suffisantes. Ceci étant, il est difficile de croire que la CNIL mettra en demeure tous les utilisateurs de Google Analytics. Il n’en reste pas moins que selon nous, cette décision doit nous alerter, car nombreuses sont les leçons à en tirer.
Chez map, nous avons pris les devant et avons analysé avec notre équipe web quels sont les alternatives les plus intéressants en fonction de vos besoins et de vos utilisations. A ce jour nous en avons sélectionné 2 qui nous paraissent sortir du lot. Voici leurs avantages et leurs inconvénients:
- Matomo: précédemment connu sous le nom de Piwik, Matomo propose un logiciel d’analyse puissant tout en tenant compte des préoccupations en matière de confidentialité (à propos, “matomo” signifie “honnêteté” en japonais). Il est fiable, respecte scrupuleusement les RGPD et est déjà utilisé par des millions d’utilisateurs. Le seul hic, c’est que c’est un outil payant CHF 21.-/mois, la version gratuite nécessitant l’hébergement des données sur votre serveur…
- Abla est un outil français, dont la version gratuite permet d’avoir des données suffisantes pour la majorité des sites: nombre de page vues, nombre de visiteurs, rebond, temps de visite, pages vues, acquisition, filtres. Il respecte scrupuleusement les RPGD, pas besoin de demander le consentement de votre visiteur, donc pas de barre de Cookies. La version de base est gratuite, et paraît suffisante pour les petits sites vitrines.
L’avantage de ces outils analytiques alternatifs c’est qu’ils peuvent être configurés de manière à éviter la nécessité générale d’obtenir le consentement de l’utilisateur pour le traitement des données. Et malgré la crainte de ne pas trouver la même aisance dans l’utilisation et malgré l’effort à fournir quand le choix de l’alternative est fait, l’option la plus sécurisante pourrait être de migrer vers ces nouveaux outils.
Dans ce contexte, Google envisage de mettre en place des contrôles supplémentaires afin de fournir à ses clients des garanties concernant la protection des données des utilisateurs. Mais pour le moment rien de concluant n’a été mis en place.
En attendant, Google, Meta et d’autres pourraient, par exemple, localiser les données européennes en Europe ou trouver des astuces pour protéger celle devant obligatoirement traverser l’Atlantique, mais cela ne semble pas à l’ordre du jour.
Vous vous posez des questions au sujet de la meilleure solution à adopter, n’hésitez pas à nous contacter pour en discuter.
