Logo

Est ce que je peux utiliser Google Analytics avec la RGPD ?

1732549534958

Peut-on continuer à utiliser Google Analytics ? Même après la décision de la CNIL du 10 février 2022 ?

Edit : Les choses ont quelque peu évolué depuis. Google utilise désormais des serveurs européens pour mieux répondre aux exigences de la réglementation européenne en matière de protection des données. Pour aider les webmasters dans cette transition, ils ont même édité un guide complet sur le sujet, disponible [ici](lien vers le guide de Google).

Vous pouvez égalment utiliser Google Tag Manager Server Side. Cette version de Google Tag Manager, qui déplace une partie du traitement des données et des tags du navigateur du client vers un environnement serveur, offre un contrôle accru des données, réduit la dépendance aux cookies tiers et améliore les performances du site.

 

C’est une petite bombe qui est tombée le jeudi 10 février 2022 !

La Commission nationale de l'informatique et des libertés (CNIL) a publié un communiqué annonçant la mise en demeure à l’encontre des sites français qui utilisent Google Analytics, à cause du transfert des données personnelles vers les États-Unis.

Vous possédez un site ecommerce ou de lead et vous avez installé Google Analytics ? Vous êtes inquiets car vous avez peur de voir disparaître un outil fiable et précis d’analyse de votre site ?

Pour comprendre l'impact de cette décision et pour vous apporter une réponse éclairée, voici quelques précisions:

Nouveau call-to-action

 

Dans quel contexte cette décision intervient ?

Cette décision intervient suite au dépôt de 101 plaintes déposées par l’association NOYB (None Of Your Business), dirigée par l'avocat et défenseur des libertés publiques autrichien Max Schrems, concernant le transfert de données personnelles de l'Europe vers les Etats-Unis car ce pays n’est pas garant de la protection des données.
En gros, les États-Unis ne garantissent pas le même niveau de confidentialité que les pays de l’Union européenne.

Après plus d'un an et demi d'enquêtes sur les conditions dans lesquelles les données collectées avec Google Analytics, les autorités françaises ont estimé que le transfert des données collectées par Google Analytics vers les États-Unis est illégal au regard du RGPD.

Parmi ces sites, se trouveraient Décathlon, Sephora et Auchan.

Google Analytics est l'outil d'analyse de données le plus utilisé dans le monde. Il est utilisé pour collecter des données sur les visiteurs de sites web, y compris des données personnelles telles que l'adresse IP et le comportement de navigation. Cela peut aider les propriétaires de sites à comprendre comment les visiteurs interagissent avec leur site et à améliorer leur expérience utilisateur.

Cependant, la décision de la CNIL a des répercussions importantes sur l'utilisation de Google Analytics en France. La mise en demeure exige que les sites web français se conforment au Règlement général sur la protection des données (RGPD) et, si nécessaire, cessent d'utiliser Google Analytics dans les conditions actuelles. Cette décision concerne potentiellement de nombreux sites web en France, y compris des sites de commerce électronique tels que Décathlon, Séphora et Auchan, qui utilisent Google Analytics pour suivre leur trafic et leur conversion.

Il est important de noter que la décision de la CNIL n'interdit pas l'utilisation de Google Analytics en soi, mais elle impose une obligation de conformité au RGPD, notamment en ce qui concerne le transfert des données personnelles vers des pays tiers, tels que les États-Unis.

Un délai de conformité de 1 mois imposé par la CNIL

La CNIL indique avoir transmis des mises en demeure aux responsables.

"La CNIL (....)  impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles."

 

Est ce que je suis concerné ?

Difficile à dire si vous êtes concerné par cette décision de la CNIL, car nous ne disposons pas des informations concernant les conditions de collecte des données personnelles en question. Cependant, il est important de noter que les données collectées par Google Analytics peuvent inclure des informations telles que l'emplacement géographique, le type de navigateur, l'appareil utilisé, l'adresse IP, les pages visitées, la durée de la visite, les actions entreprises sur les pages et bien d'autres.

De plus, la version de Google Analytics concernée par cette décision n'a pas été précisée, mais il est important de rappeller que Google Analytics est l'un des outils d'analyse de données les plus utilisés au monde, avec plus de 30 millions de sites web utilisant le service en 2021.

Cependant, Google propose un outil appelé "Google Consent Mode" pour adapter le comportement des scripts en fonction du consentement de l'utilisateur. Cela permet de respecter les réglementations en matière de protection des données personnelles, comme le RGPD. Toutefois, il est important de noter que ce n'est pas une solution complète pour respecter les règles de confidentialité et que les entreprises doivent également mettre en place d'autres mesures pour garantir la protection des données personnelles.

On attend donc des précisions de la CNIL pour savoir si cette décision s'applique à d'autres sites web. Il est possible que d'autres services d'analyse de données soient également concernés par cette décision, ce qui souligne l'importance pour les entreprises de vérifier leurs pratiques en matière de collecte et de traitement des données personnelles.

Enfin, il est important de se demander si cette décision de la CNIL pourrait également s'appliquer à d'autres outils hébergés aux États-Unis, tels que les scripts de conversions des régies Facebook ou Google. Cette décision pourrait également avoir des implications pour les entreprises qui stockent des données personnelles sur des serveurs américains ou qui utilisent d'autres services en ligne hébergés aux États-Unis. Il est donc conseillé de rester vigilant et de suivre de près l'évolution de la situatio

 

  Notre conseil pour savoir quelle attitude adopter 

Ne pas se précipiter et attendre la réponse officielle de Google. Selon les données de SimilarTech, Google Analytics est l'outil d'analyse de données le plus utilisé au monde, avec une part de marché de plus de 80 %. Face à l'annonce de l'invalidation du Privacy Shield, Google a commencé à réagir et pourrait proposer des solutions pour répondre aux préoccupations des utilisateurs de Google Analytics.

Plus largement, le transfert de données vers les USA pourrait faire l'objet d'un accord UE-USA. En effet, après l'invalidation du Privacy Shield, l'Union européenne et les États-Unis ont entamé des discussions pour élaborer un nouveau cadre de protection des données personnelles transférées entre l'UE et les États-Unis.

Il est important de souligner que Google Analytics permet aux annonceurs SEA (Search Engine Advertising) d'apporter des informations que les autres solutions n'apportent pas toujours, comme les audiences, l'attribution multi-canal ou l'intégration avec l'écosystème Google. Par exemple, les audiences permettent de cibler les utilisateurs en fonction de critères spécifiques tels que leur comportement de navigation, leur géolocalisation ou leur âge. L'attribution multi-canal permet quant à elle d'attribuer les conversions à plusieurs sources de trafic, ce qui est utile pour mesurer l'impact de différentes campagnes publicitaires sur les ventes. Enfin, l'intégration avec l'écosystème Google permet de connecter les données de Google Analytics avec d'autres outils de marketing numérique tels que Google Ads, Google Tag Manager ou Google Optimize.

Une bascule rapide et arbitraire vers une autre solution d'analyse de données pourrait couper les annonceurs SEA d'un atout considérable face à leurs concurrents. Cependant, il est important de noter que chaque entreprise doit prendre en compte ses propres risques et exigences en matière de protection des données personnelles, et que la décision de rester ou de quitter Google Analytics dépendra de facteurs tels que le type de données collectées, la finalité du traitement et les mesures de sécurité mises en place pour protéger les données.

 

Nos préconisations 

Premièrement, bien valider la mise en place et le bon fonctionnement de la CMP sur le site. Pour rappel, cette CMP doit bloquer les scripts Analytics en attendant le consentement de l'utilisateur.

Pour être conforme au RGPD, il est essentiel d'obtenir un consentement explicite de la part des utilisateurs avant de collecter et de traiter leurs données personnelles. En utilisant Google Analytics RGPD, vous devez donc informer clairement les visiteurs de votre site web de la collecte de données, de leur finalité et des tiers avec lesquels elles peuvent être partagées. Les visiteurs doivent être en mesure de donner leur consentement de manière explicite et libre.

Deuxièmement, mettre en place des outils de statistiques web comme Matomo et Beyable. Ces outils sont certifiés par la CNIL et ne sont pas soumis au consentement préalable de l'utilisateur du site. De plus l'agence PumpUp est intégrateur de ces solutions.

Utiliser Tag Manager Server Side qui utilise des serveurs en europe.

Dernièrement, la transparence est également une exigence clé du RGPD pour les pratiques de collecte et de traitement de données personnelles. En utilisant Google Analytics RGPD, vous devez donc fournir des politiques de confidentialité claires et concises qui expliquent en détail les pratiques de collecte et de traitement des données, ainsi que les mesures prises pour protéger la vie privée des utilisateur

Il est important de noter que la mise en conformité avec le RGPD n'est pas une tâche facile pour les sites web. Selon une étude de Cookiebot, une entreprise spécialisée dans la conformité des cookies, seuls 11 % des sites web européens sont conformes au RGPD. Cela signifie que la grande majorité des sites web européens ne sont pas conformes aux règles de confidentialité et de protection des données.

 

 Conclusion

Cette décision va-t-elle faire tâche d’huile ? Peut-être, ce raisonnement pourrait s'appliquer bien au-delà de Google Analytics et concerner des outils plus élaborés comme le cloud, les téléphones ou les services de paiement américain (Stripe notamment) qui ne seraient pas en conformité non plus. 

Nous allons bien sûr continuer de vous tenir au courant.

Si vous avez des questions, parlons-en 15mn ensemble ! Nouveau call-to-action

Sources 

https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

https://www.alain-bensoussan.com/avocats/la-cnil-se-prononce-sur-lutilisation-de-google-analytics/2022/02/11/

https://blog.google/products/marketingplatform/analytics/