Petite bombe publiée par la CNIL hier : l'outil de mesure d'audience Google Analytics irait à l'encontre du RGPD et serait donc illégale pour cause de stockage des données outre-Atlantique. Même si on peut aisément imaginer qu'une solution sera rapidement trouvée par Google, n'est-ce pas une bonne opportunité pour nous poser quelques questions à ce sujet ?...
Le coup de tonnerre est tombé hier, lâché par la CNIL : l'outil de mesure d'audience Google Analytics serait illégal en France en l'état actuel des choses. En effet, selon l'organisme, « Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis. La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics(…) La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment. Or, la CNIL a constaté que ce n’était pas le cas (…) La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité»
En clair, si vous utilisez Google Analytics en l'état, vous risquez des problèmes… Or, en SEO, si cet outil ne rentre pas directement en ligne de compte dans les stratégies d'optimisation, il est indispensable pour mesurer le trafic généré par les moteurs de recherche. Enfin, Google Analytics ou un autre outil similaire…
Google va-t-il réagir ?
Ceci dit, on a du mal à imaginer que Google ne réagisse pas et ne mette pas en place un système de stockage des données en Europe assez rapidement. Ce n'est après pas une contrainte si énorme pour lui, même si on peut douter qu'il fasse cela en un mois. Mais la firme de Mountain View n'a pas été prise en traître, puisqu'une décision similaire a déjà été actée en Autriche il y a quelques temps. Google a donc certainement dans ses cartons une solution en cours de mise en œuvre… Gageons donc que le problème soit résolu dans les prochaines semaines car on voit mal Google se priver de cet outil pour l'Europe (car la décision de la CNIL n'est certainement qu'un début et en annonce bien d'autres si rien ne bouge). En cela, c'est certainement une bombe qui va certainement rapidement « faire pschittt »…
Et finalement, si c'était une décision salutaire ?
Mais après tout, on peut voir le problème sous un autre angle. En effet, n'est-ce pas finalement une chance ? Depuis quelques années, on utilisait souvent Google Analytics sans se poser la question des solutions alternatives. La décision de la CNIL ne va-t-elle pas nous inciter à nous poser des questions à ce niveau ? À une époque où la version GA4 d'Analytics a provoqué la performance de monter contre elle la majorité des utilisateurs de la version précédente (Universal Analytics), une première grogne non négligeable s'était mise en place. La deuxième lame de la CNIL, hier, va certainement pousser plusieurs gestionnaires de sites web, et non des moindres, à regarder de l'autre côté de la rue pour voir si l'herbe n'est pas plus verte et « RGPD compatible »… Il est bien possible que les Matomo et autres At Internet soient les grands gagnants de toute cette histoire. Et on peut parier que ceux qui feront l'effort de faire le tour des opérateurs disponibles dans le domaine de la mesure d'audience découvriront des outils qu'ils ne connaissaient pas jusqu'alors et peut-être même, allez savoir, en sortir quelques pépites…
Page d'accueil de Google Analytics. Source : Abondance
Comme l’ont dit plusieurs personnes ici, Matomo est une bonne alternative à Google Analytics.
Son installation et sa configuration sont relativement simples. De plus Matomo permet de s’affranchir légalement du consentement pour les cookies. Voici un article de fond expliquant les tenants et les aboutissants de la question => https://100son.net/matomo-ou-comment-eviter-le-consentement-pour-les-cookies/
Bonjour,
Il y a des solutions pour rendre conforme Google Analytics : https://www.donneespersonnelles.fr/utiliser-analytics-rgpd (anonymisation de l’IP, suppression des cookies,…)
Bien à vous,
Christophe
Et quand est-il des données de Google Ads ? Mon DPO me pose la question. Sont-elles stockées aux USA ou en Irlande ? (ou ailleurs). Je ne trouve pas l’info à ce jour.
Bonjour,
Je ne suis pas certain que les données de GG Analytics soient hébergées en Europe ne change grand-chose, dans la mesure où le « cloud act » concerne les entreprises américaines quel que soit leur lieu d’activité. Je ne les ai plus sous la main, mais j’ai lu des articles là-dessus. Donc pas si simple que ça pour GG de se mettre dans les règles.
Historiquement j’ai connu Xiti, qui faisait plutôt bien son job, mais dont la version gratuite obligeait à afficher un logo de manière visible sur les sites bénéficiaires. Quand GG Analytics est arrivé, nous sommes presque tous passés dessus pour éviter ce problème. phpMyVisites, devenu depuis Piwik, puis Matomo existait déjà, mais demandait beaucoup de ressources machine. Aujourd’hui c’est moins un problème avec les performances proposées même par des solutions d’hébergement à faible coût. Bref, j’utilise Matomo depuis de nombreuses années et j’en suis plutôt content.
Comme Fabien, j’adhère entièrement à la façon dont Olivier a traité le sujet ici, entre autres, en se demandant si finalement ce n’était pas salutaire.
Simple petite nuance : Google (et nous) n’a pas été pris au dépourvu étant donné non seulement la décision autrichienne, mais surtout les arrêts bien plus anciens de la Cour de Justice Européenne, que l’on a cherché à contourner (en vain) par des subterfuges, plutôt que de s’y conformer directement.
Je trouve que le traitement de la CNIL est inégal : concrètement, ces sites se sont pris une amende pour des adresses IP envoyées aux USA, avec un délai d’un mois pour se mettre en conformité. De l’autre côté, on a la Ministère de la Santé qui envoie des dossiers médicaux complets aux USA (chez Microsoft, le Health Data Hub), pas d’amende et deux ans pour « se mettre en conformité ». Est-ce qu’il faut conclure qu’une adresse IP représente plus de données personnelles (vu qu’il y a eu amende) qu’un dossier médical, ou que le système est fait depuis le début pour « allumer » les GAFAM (sans l’avouer bien sûr, ça ne sa fait pas). Concernant les autres solutions, j’utilise déjà depuis un moment en test Matomo : je trouve que c’est loin de ce que propose Google Analytics, mais au moins ça reste gratuit ; enfin, je suis presque certain qu’aucun de mes clients ne seraient prêt à payer pour les statistiques de leur site. Pour l’heure, je vais attendre que Google annonce la construction d’un datacenter en Irlande, au moins ce sera hébergé en Europe 😉
Perso j’utilise Matomo et c’est pas mal. Le problème est de trouver des solutions, réponses, aides aux problèmes spécifiques. Il y a aussi la vitesse de réponse de l’équipe, il n’y a qu’un seul Français et s’ils ne savent pas quoi répondre bah ils ne répondent pas.
J’adore comment Olivier traite le sujet, j’ai le constat, le pourquoi du comment et la piste non urgentiste pour ses utilisateurs et la réflexion du : « Est-ce qu’on est vraiment menotté et point lié pour n’utiliser que GA ? ». L’ouverture sur les autres alternatives (nombreuses) est super bien faite et comme l’a signalé Olivier, ne paniquez pas, Google est puissant et il couvrira très certainement assez rapidement ce problème sans qu’on est, nous utilisateur, à bouger le petit doigt !
Keep calm, wait and see !
Les solutions alternatives sont effectivements nombreuses, et permettent même parfois, sous réserve d’un paramétrage conforme, d’être exempté de la demande de consentement préalable. Pour autant la prise de décision de la CNIL porte plus ici sur l’export systématique de données en dehors de la communauté européenne, un des sujets de la conférence « Construire la souveraineté numérique de l’Europe » qui s’est déroulée les 7 et 8 février (replay consultable sur https://www.economie.gouv.fr/conference-pfue-souverainete-numerique#).
Si négociations avec Google il y a, elles risquent d’être rudes !
GA4 est de plus en plus limité sur les renseignements donnés, on y apprend le pays, la ville de l utilisateur ? impossible de connaitre le terme qui a déclenché l affichage de l annonce … sacré drame.
Doit on retirer dès maintenant GA de nos sites internet ????
Non, surtout pas !