Le 10 février 2022, la CNIL (Commission Nationale de l’Informatique et des Libertés) a rendu une décision qui a secoué le monde du web :
L’utilisation de Google Analytics viole l’article 44 et suivants du RGPD (Règlement Général sur la Protection des Données) en raison du transfert illégal des données des internautes vers les États-Unis.
Qu’est-ce que Google Analytics ?
Quels sont les fondements de cette décision de la CNIL ?
Que faire pour vous mettre en conformité ?
Google Analytics : définition
Mis en place en 2005, Google Analytics est l’outil statistique de Google permettant aux gestionnaires de site web de mesurer et d’analyser l’audience. 100 % gratuit, il est l’outil de web analytics le plus utilisé du marché international notamment grâce à sa simplicité d’utilisation et à ses statistiques très complètes.
Google Analytics est notamment conçu pour mesurer le ROI (retour sur investissement) des campagnes marketing : SEA, réseaux sociaux, évènements etc. Il est possible, par exemple, de fixer des objectifs et d’observer combien de clics ou d’actions sont nécessaires pour l’atteindre. L’outil enregistre deux types d’informations :
- les données d’acquisition client (avant qu’ils n’arrivent sur un site internet) : données démographiques (age, sexe, localisation etc) et provenance des utilisateurs (réseaux sociaux, newsletters, autres sites web etc.)
- les données de comportement (pendant leur visite sur le site internet) : combien de temps l’internaute reste sur le site (taux de rebond), quelles pages sont visitées, le taux de conversion etc.
Comment fonctionne Google Analytics ?
Lors de cessions sur internet, le navigateur stocke les cookies déposés par les sites visités. Cela permet aux sites web de se « souvenir » de l’utilisateur et de collecter toutes les données utiles sur son comportement. Le recueil de ces informations est indispensable aux outils de web analytics afin d’identifier les internautes et de connaître leurs intérêts dans le cadre d’une stratégie de contenu personnalisée. Il s’agit d’une stratégie de tracking.
Google analytics collecte ces données via un code de suivi unique installé sur chaque page d’un site web. Il s’agit d’un petit extrait de Javascript s’exécutant dans le navigateur des visiteurs du site en question. Ces lignes de code sont directement intégrées dans le code du site pour enregistrer à la fois le comportement des internautes durant la visite mais également des informations plus personnelles (données démographiques comme le sexe, les intérêts etc.). Ce code dépose un cookie sur l’ordinateur de l’internaute : les informations anonymes fournies permettent de créer l’identifiant des visiteurs.
Or, la gestion des cookies est encadrée et doit répondre à certaines conditions pour être conforme au RGPD, notamment pour ceux pouvant être exemptés de consentement.
La gestion des cookies recommandée par la CNIL
Les cookies déposés sur les sites web destinés à mesurer et à analyser d’audience sont des traceurs (trackers). Cependant, ils peuvent être exemptés de consentement sous certaines conditions instaurés par l’article 82 de la loi Informatique et libertés :
- avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application : mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés), et pour le seul compte de l’éditeur ;
- servir à produire des données statistiques anonymes
Pour une utilisation respectueuse de la vie privée des internautes, la CNIL recommande également :
- l’information des utilisateurs de la mise en œuvre de ces trackers (via la politique de confidentialité par exemple)
- la limitation de la durée de vie des trackers à une durée permettant une comparaison pertinente des audiences dans le temps (une durée de treize mois) sans prorogation automatique au cours des nouvelles visites ;
- Limitation de la conservation des données collectées pour une durée maximale de vingt-cinq mois;
Or, un site web utilisant Google Analytics ne peut en aucun cas être exempté du consentement du suivi car les données utilisateurs sont utilisées par Google.
Google Analytics et RGPD : comprendre la décision de la CNIL
Pourquoi Google Analytics est-il contraire au RGPD ?
Comme nous l’avons vu, Google Analytics est une fonctionnalité intégrée par les gestionnaires de sites web pour mesurer et analyser les audiences. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Or cet identifiant et les données personnelles qui lui sont associées sont transférés par Google aux États-Unis. C’est sur ce transfert de données aux USA que la CNIL a été saisie. L’association NOYB, organisation de protection de la vie privée, a transmis à la CNIL plusieurs plaintes afin d’obtenir une position sur la légalité de ce transfert des données vers les USA.
La Commission Nationale de l’Informatique et des Libertés a analysé les conditions dans lesquelles les données collectées via Google Analytics sont transférées vers les États-Unis, en partenariat avec ses homologues européens.
Dans sa décision du 10 février 2022, la CNIL a jugé que ces transferts sont illégaux. La CNIL estime en effet que le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis est important, si les transferts ne sont pas correctement encadrés.
Sur quels éléments s’appuie la décision de la CNIL ?
La Commission a analysé :
- les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics sont transférées vers les États-Unis ;
- les risques encourus pour les personnes concernées.
Cette analyse s’appuie notamment sur l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. Pour rappel, le Privacy Shield permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.
Attention, cette décision de la Cour de Justice de l’Union Européenne n’entraîne pas l’interdiction générale de tous les transferts de données personnelles vers les États-Unis d’Amérique mais impose le respect de certaines conditions nouvelles. Suite à l’arrêt Schrems II, ces transferts de données UE-USA :
- doivent désormais être encadrés (clauses contractuelles , règles d’entreprise contraignantes (BCR – Binding Corporate Rules) etc.)
- et des mesures supplémentaires doivent être mises en œuvre par l’exportateur de données de manière à en empêcher l’accès aux autorités américaines de renseignement lorsque ces données sont stockées sur le territoire des USA, ou lors de leur transit.
Or, concernant Google Analytics, la CNIL a constaté que :
- les mesures supplémentaires adoptées par Google pour encadrer les transferts de données ne sont pas suffisantes pour exclure la possibilité d’accès des services de renseignements américains à ces données.
- qu’il existe un risque pour les utilisateurs des sites Français utilisant cet outil de web analytics compte tenu de l’exportation de données personnelles pouvant être exploitées par les services de renseignement Américains.
Ces données sont ainsi actuellement transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.
Quelles conséquences pour les entreprises utilisant Google Analytics ?
Les entreprises contre lesquelles l’association NOYB a porté plainte ont été mises en demande par la CNIL de se mettre en conformité. Cela peut passer par:
- la nécessité de cesser de recourir à Google Analytics (tant que les mesures supplémentaires ne sont pas satisfaisantes en termes de sécurité d’accès)
- l’utilisation d’outils n’entraînant pas de transferts des données en dehors du territoire Européen.
Ces entreprises (misent en demeure) ont un mois pour se mettre en conformité.
Les répercussions de cette décision ne sont pas immédiates pour les autres gestionnaires de site. Cependant, n’importe quelle personne physique ou morale portant plainte auprès de la CNIL pourrait désormais obtenir une mise en demeure sur le fondement de cette décision. Il semble opportun, sans paniquer pour autant, de se tourner vers des alternatives au géant Américain.
La sécurité de la donnée est un chantier prioritaire actuellement et les outils qui se développent mettent l‘accent dessus.
Mise en conformité : Quelles sont les alternatives à Google Analytics ?
Comment choisir un outil de web analytics conforme au RGPD ?
Le transfert de données engendré par l’utilisation de Google Analytics étant jugé illégal par la CNIL, mieux vaut commencer à se tourner vers des services mesures et d’analyse d’audience alternatifs. Des actions doivent en effet être entreprises dès maintenant pour réduire les risques de traitement illégal des données.
Pour faire votre choix d’outil de web analytics, gardez à l’esprit les recommandations de la CNIL :
- choisir des outils servant uniquement à produire des données statistiques anonymes autorisant une exemption de consentement;
- à condition que le responsable de traitement s’assure qu’il n’y ait pas de transferts illégaux.
Si Google Analytics est le leader du marché, la solution la plus utilisée au monde et notamment en France, toujours très recommandée par les professionnels du web marketing en général et du SEO en particulier, il en existe d’autres. Pour aider les propriétaires et administrateurs de sites internet, la CNIL a dressé une liste officielle des solutions de web analytics « identifiées comme pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil de consentement », « sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application ».
Une alternative éthique : Matomo
Intéressons-nous tout particulièrement à Matomo, l’outil qui se présente comme une alternative éthique à Google Analytics.
En effet, les données appartiennent entièrement aux entreprises et aucune source externe ne viennent les consulter. Suivant la réglementation, un site web qui utilise Google Analytics doit demander le consentement du suivi car les données utilisateurs sont utilisées par Google (voir le paragraphe sur la gestion des cookies recommandée par la CNIL).
En revanche, Matomo s’utilise sans consentement de suivi puisque le service n’utilise pas les données des internautes. Ce respect de la vie privée et de la confidentialité des données permet au service de mesure d’audience d’être exempté de consentement. Les clients ne sont pas ainsi pas ennuyés par les écrans de consentement, ce qui les fait parfois fuir.
Ainsi, cette solution de mesure d’audience est légale au regard des articles 44 et suivants. De plus, elle respecte les conditions de l’article 82 de la loi Informatique et libertés, ce qui vous libère de l’obligation de recueillir le consentement des internautes.
Stop avec Google analytics !!! 15 sites ecommerce viennent d’être mis en demeure par la CNIL à cause justement de Ggogle analytics. Cet outil est clairement devenu inutilisable.
Pierre