Google Analytics ne respecte pas le RGPD

Aujourd’hui, Google et ses outils possèdent une puissance presque incontestée ses dernières années. Notamment avec Google Analytics qui ne respecte pas le RGPD.

99% des services marketings utilisent au moins un de ses services, que ce soit pour le SEA, l’analytics, le business… Encore plus important la plupart des écoles de marketing proposent des cours sur ces outils à l’exception de tout autres.

Pourtant cette hégémonie inquiète depuis plusieurs années, comme nous l’avions déjà évoqué en 2019. Hier, le 11 janvier 2022 la CNIL a mis en demeure pour la première fois, un gestionnaire de site web, au motif que les transferts de données personnelles vers les Etats Unis par le biais de Google Analytics ne respectait pas le RGPD.

Qu’est-ce que cette décision implique aujourd’hui, pour les entreprises qui font appel à cet outil ?

Quelles solutions existent pour les services marketing et les développeurs web ?

Pourquoi utilisons-nous Google Analytics ?

Google Analytics est la solution d’analyse et de mesure d’audience la plus répandue au sein des entreprises. A l’heure où la data est souvent demandée par la direction pour la prise de décision stratégique, que ce soit dans le domaine digital ou opérationnel, l’analyse de votre audience par le service marketing est souvent la première étape quand on en vient à créer ou faire évoluer notre stratégie.

Google Analytics permet de voir notre trafic en temps réels sur notre site internet, mais également de comprendre quelles actions nous ont permis de récupérer ce trafic et le comportement de nos utilisateurs sur notre plateforme.

Ces données sont primordiales pour améliorer votre site web mais également votre acquisition, votre conversion et donc votre chiffres d’affaires.

En effet, ces données peuvent vous permettre de détecter une erreur de navigation dans votre tunnel e-commerce si vous être UX Designer, de voir quels articles de blog ont ramené le plus de visiteurs lorsque vous êtes rédacteur SEO, quelles pages de ventes convertissent le plus lorsque vous être responsable e-commerce, de retargeter vos visiteurs sur vos réseaux sociaux lorsque vous proposez des Ads.

Ces données, quand on travaille dans le marketing on ne peut plus vivre sans.

Mais ces données, au vu de la puissance de l’analyse de Google Analytics peuvent être à caractère personnel, et donc être soumises au RGPD comme nous l’avons dit ici.

Or, celui-ci étant un règlement européen, rares sont les société américaines à les respecter, et les GAFAM sont régulièrement pointées du doigts à ce sujet mais sans qu’aucune décision n’ait été prise par la CNIL jusqu’à présent.

C’est désormais chose faite.

La décision de la CNIL en date du 10 février 2022

Jeudi 10 février 2020, une décision de la CNIL secoue le monde du marketing digital.

En effet, celle-ci met en demeure le gestionnaire d’un site web pour l’utilisation de Google Analytics et le transfert de données personnelles, ici un identifiant e-commerce, vers les Etats-Unis.

Après de nombreuses plaintes de NYOB (My Privacy is none of your business) qui défend le droit à la vie privée de manière concrète afin de vérifier si les transferts étaient bien encadrés, la CNIL rejoint la CJUE, la Cour de Justice de l’Union européenne, qui avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis.

Dans son document, la CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, la politique de confidentialité de données personnelles américaine n’étant pas en adéquation avec le RGPD, le transfert des données ne peut avoir lieu que si des garanties appropriées sont prévues.

Pour la CNIL, ce n’est pour le moment pas le cas concernant Google Analytics. En effet, si Google a bien adopté des mesures supplémentaires pour encadrer les transfert de données, suite à l’invalidation du Privacy Shield, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour tous les utilisateurs du site français de se retrouver sous l’oeil de Big Brother !

Ainsi, la CNIL constate que le transfert des données via Google Analytics est une violation des articles 44 et des suivants du RGPD et demande au gestionnaire du site web de cesser d’avoir recours à cet outil dans les conditions actuelles ou de trouver une alternative n’entrainant pas de transfert hors UE.

La Commission nationale de l’informatique et des libertés ne compte pas s’arrêter là, d’autres procédure de mise en demeure de gestionnaire de site utilisant Google Analytics ont été engagées et son enquête s’étend également à d’autres outils utilisés par les sites qui donnent lieu à des transferts de données vers les Etats-Unis.

Nous pouvons donc nous attendre à de nouvelles mesures correctrices prochainement.

Les conséquences de la décision de la CNIL sur le marketing

La réaction de Google

Tout d’abord, Google étant l’entreprise mondiale et prédominante qu’elle est, il est difficile d’imaginer qu’elle se laisse destituer sans combattre. Surtout après avoir été également décrié par l’autorité autrichienne chargée de la protection des données en janvier.

Et effectivement nous pouvons voir dans un encart de son centre d’aide dédié à Google Analytics, un encart précisant que Google travaille sur de nouvelles mesure afin de permettre à ces utilisateurs de rester en conformité avec le RGPD tout en continuant d’utiliser Google Analytics.

“Notre engagement est de répondre à leurs besoins commerciaux et à leurs exigences de conformité spécifiques en leur fournissant les outils nécessaires pour identifier les données collectées et leur utilisation. Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourront ainsi continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir.”

Nous voilà donc rassurés, Google ne risque pas de perdre sa place de leader dans les solutions d’analyse et de mesure d’audience.

Malheureusement ?

En effet, cette décision intervient peut-être au moment idéal pour réfléchir aux solutions alternatives, plus respectueuses de la vie privée, moins dominantes dans le paysage web mondial, et réfléchir à une souveraineté numérique plus européenne ?

Les alternatives européennes plus respectueuses

C’est LA bonne nouvelle !

Trop happés par la puissance de Google Analytics et son apprentissage dans de nombreuses écoles, de nombreux marketeux oublient qu’il existe déjà des alternatives européennes RGPD-compliant, certaines d’entre-elles listées par la CNIL dans ce document comme nous l’avions précisé lorsque nous parlions d’UX avec Kaora-Partners et Amandine Biou.

En effet, à l’heure de l’hyper-personnalisation du parcours client, il est difficile d’imaginer qu’on puisse se passer d’une solution de mesure et d’analyse d’audience aussi puissante que Google. Pourtant, cette idée est souvent le résultat d’un automatisme. Peu de personnes font aujourd’hui l’effort de faire une étude de marché concernant les solution de mesure et d’analyse d’audience.

L’enquête de la CNIL sur ces différents outils pourrait inverser la tendance et permettre à de nombreuses start-ups européennes respectant le droit à la vie privée de se développer et de conquérir des marchés qui étaient paralysés par les abus de position dominante de ceux qui importent les données vers les USA.

C’est donc une très bonne nouvelle pour tous les acteurs du numérique européen et chez Upway.io, nous voulons apporter notre pierre à l’édifice en vous proposant une petite liste des alternatives que l’on connaît :

  • Matomo
  • Simple Analytics
  • AT Internet
  • Plausible
  • Eulerian.com

Votre prochaine mission est sur Upway.io !

Créez votre profil dès maintenant 👇

Nos outils pratiques

Les plus consultés