Comme vous le savez, DDESIGN a toujours à cœur d’informer ses clients et collaborateurs des actualités du Web.
Ce mois-ci, je voudrais vous parler d’une actualité brûlante, qui fait trembler le monde du Web français. Je veux bien sûr parler de la décision de mise en demeure rendue par la CNIL le 10 février 2022 à propos de l’outil de mesure d’audience Google Analytics.
Selon la CNIL, la version actuelle Google Analytics viole le RGPD.
Cette décision affecte des millions d’entreprises françaises, qui utilisent Google Analytics pour mesurer l’audience et la performance de leur site internet.
Elle a aussi de lourdes conséquences pour les nombreux experts du web qui utilisent très régulièrement Google Analytics pour leurs clients (webmaster, référenceur, marketeur…).
Depuis la décision de la CNIL, j’entends beaucoup de réactions disparates. Il n’est pas simple de comprendre clairement et précisément ce qui pose problème avec Google Analytics. D’ailleurs, j’ai constaté que certains experts du web ont fait le choix de continuer à utiliser Google Analytics pour leurs clients, considérant qu’il n’y avait pas un grand danger… alors que d’autres, au contraire, ont alerté leurs clients du risque juridique et leur a conseillé d’enlever rapidement Google Analytics de leur site internet.
Les questions se posent donc :
- Google Analytics représente-t-elle réellement un danger juridique aujourd'hui pour les entreprises et les experts du web ?
- Est-il aujourd'hui totalement illégal d'utiliser Google Analytics ? ou bien est-ce encore possible ? et si oui à quelles conditions ? Que risque t-on réellement ?
- Enfin, pour ceux qui aiment vivre dans la sérénité juridique, existe t'il une solution alternative à Google Analytics ?
Compte tenu des nombreuses questions qui se posent et des enjeux associés, j’ai fait appel à ma partenaire de coeur, Elise Guilhaudis, avocate et experte en Droit du web.
Ensemble, nous avons rassemblé nos 2 expertises du web, très complémentaires (la technique du web et le droit du web) et avons étudié pendant des jours ce sujet brûlant.
Voici le résultat de notre travail dans cette vidéo et cet article.
Rappelons d’abord comment fonctionne Google Analytics
Google Analytics est une solution de mesure d’audience permettant de suivre les statistiques de fréquentation ou de performance d’un site, quel que soit le type de technologie que vous utilisez. Cette solution utilise des traceurs et permet de suivre individuellement les internautes qui visitent le site.
Google Analytics fonctionne par l’inclusion d’un bloc de code JavaScript sur les pages d’un site web. Quand un internaute visite une page ou article de votre site, ce code JavaScript provoque le chargement d’un fichier JavaScript et exécute alors l’opération de suivi de l’internaute.
L’opération de suivi consiste en la récupération de données relatives à la requête de l’internaute qui navigue sur le site internet en question, à travers différents moyens et l’envoi de ces informations aux serveurs Google Analytics.
Le saviez-vous ?
Google Analytics collecte entre autres la requête https de l’utilisateur, des informations sur son navigateur, le terminal utilisé et sur son système d’exploitation. […] . La solution peut même collecter des informations relatives au compte de l’utilisateur. Une fois ces informations collectées, elles sont transmises aux serveurs de Google Analytics, basés aux États-Unis.
Rappel : qu’est-ce qu’une donnée personnelle ?
Une personne physique peut être identifiée :
- directement (par exemple grâce à ses nom et prénom) ;
- ou indirectement (par exemple : par une ou plusieurs informations de connexion sur internet).
Google Analytics et RGPD : quel est le danger ?
La CNIL vient de mettre en demeure plusieurs gestionnaires de site de ne plus utiliser la solution de mesure d’audience GA dans sa version actuelle. Elle leur a donné un délai d’un mois pour mettre en place les mesures correctives. A défaut, elle pourra prononcer des sanctions à leur encontre.
Pour apprécier s’il y a vraiment danger, il est nécessaire d’analyser cette décision de la CNIL pour bien comprendre ce qui pose problème au plan RGPD.
Que dit la CNIL dans sa décision à propos de cette solution GA ?
On peut synthétiser cette décision en 3 points :
- 1er point
La CNIL confirme, tout d’abord, que les Données qui sont transférées à Google, dans le cadre de l’utilisation de la solution Google Analytics, sont bien des données personnelles car elles permettent d’identifier les internautes qui naviguent sur le site internet.
Selon la CNIL, il suffit que les personnes soient techniquement identifiables. De plus, plusieurs
informations recoupées entre elles permettent d’individualiser les visiteurs du site.
Par conséquent, le Règlement Européen sur la protection des données personnelles (le RGPD) s’applique à Google.
- 2ème point
La CNIL confirme que, dans le cadre de l’utilisation de la solution Google Analytics, des transferts de données sont réalisés vers les serveurs de Google situés aux Etats-Unis et que ces transferts sont encadrés.
La CNIL rappelle que des transferts de données personnelles hors UE ne sont possibles que s’ils sont suffisamment encadrés, conformément aux articles 44 et suivants du RGPD.
Elle rappelle également que, si la loi du pays en question ne protège pas suffisamment les données personnelles ainsi que les droits des personnes concernés (absence de « décision d’adéquation »), il faut alors que les acteurs concernés (c’est-à-dire l’entreprise exportatrice et l’entreprise importatrice des données) mettent en place des « garanties appropriées » et qu’ils s’assurent que les personnes concernées disposent de « droits opposables » et « voies de droit effectives ».
A défaut, le transfert de données hors UE n’est possible que si la personne concernée a été informée du risque de ce transfert pour ses droits et donné son consentement explicite (ou ultime possibilité de transfert : s’il existe un contrat avec la personne concernée et que le transfert des données hors UE est nécessaire).
La CNIL rappelle que Google ne peut plus se baser sur la décision d’adéquation – le Privacy Shield aux Etats-Unis – puisque celui-ci a été invalidé par la Cour de justice de l’UE dans un arrêt du 16 juillet 2020 Schrems II, en raison des possibilités d’accès aux données par les services de renseignement américains.
La CNIL relève que Google encadre les transferts de données hors UE sur le fondement des « garanties appropriées ». Dans les documents juridiques de Google relatifs à Google Analytics, il y a en effet une annexe intitulée « Google Ads Data Processing Terms ». Cette annexe contient les clauses contractuelles types de la Commission Européenne, destinées à encadrer le transfert vers les États-Unis.
- 3ème point
La CNIL estime que, si les transferts de données fait par Google vers les Etats-Unis sont encadrées, les mesures de garanties mises en place ne sont pas suffisantes.
L’autorité de contrôle rappelle qu’en application de la loi américaine, Google a l’obligation de fournir au gouvernement américain les données personnelles. Elle ne peut pas refuser (l’article 50 US. Code § 1881a “FISA 702”).
D’ailleurs, le rapport de transparence publié par Google montre que celle-ci est régulièrement destinataire de demandes d’accès aux données par les services de renseignement américains.
La CNIL rappellent que les clauses contractuelles types ne peuvent plus, à elles seules, assurer un niveau de protection suffisant. Il faut désormais des « garanties supplémentaires » classifiées en trois catégories : contractuelles, organisationnelles et techniques.
Or, si la CNIL relève que Google a adopté des mesures contractuelles, organisationnelles et techniques pour compléter les clauses types de protection des données, ces mesures sont insuffisantes, pour empêcher ou réduire de manière significative les possibilités d’accès des services de renseignement américains.
La CNIL relève d’ailleurs à ce sujet que les mesures de chiffrement et de pseudonymisation mises en place sont insuffisantes car elles n’empêchent pas d’accéder aux données en clair.
- Conclusion
Les transferts de données vers les Etats-Unis, réalisés grâce à la solution Google Analytics, ne sont pas suffisamment encadrés pour protéger les données personnelles des internautes européens.
Suite à cette décision de la CNIL, il est important de se demander ce que nous devons faire.
Devons-nous arrêter d’utiliser Google Analytics ?
Google Analytics est-elle aujourd’hui en France totalement illégale et impossible à utiliser ?
Non, selon nous, la solution Google Analytics dans sa version actuelle n’est pas totalement illégale et impossible à utiliser.
Mais en pratique, cela devient très compliqué : d’où notre conseil présenté en dernière partie : adopter une solution alternative.
Pour ceux qui souhaiteraient quand même utiliser Google Analytics, comment faire ?
- Solution n°1
Espérer que Google réagisse rapidement à la décision de la CNIL en prenant des garanties supplémentaires destinées à empêcher ou véritablement limiter les transferts et surtout l’accès possible des données par les services de renseignement américains.
Notre avis : la décision de la CNIL date du 12 février 2022 et Google n’a pas encore réagi à l’heure où nous écrivons cet article. Il n’est pas du tout certain que Google apporte prochainement une solution au problème soulevé par la CNIL.
- Solution n°2
Il nous semble possible de continuer à utiliser la version actuelle de GA mais à la condition d’ajouter une « couche juridique supplémentaire » dans votre bandeau cookies actuel.
Pour rappel, il existe 2 règles à respecter sur les traceurs :
Règle n°1 : le propriétaire du site doit informer les internautes qui naviguent sur son site qu’il utilise des traceurs. L’information doit porter sur chaque finalité de traceurs ainsi que sur leur fournisseur.
Règle n°2 : le propriétaire du site doit ensuite obtenir le consentement préalable et express de chaque internaute avant de déposer des traceurs. La simple poursuite de la navigation sans consentement n’est plus légale.
L’internaute doit pouvoir accepter ou refuser chaque finalité de traceurs (mesure d’audience, marketing, réseaux sociaux, etc). Pour en savoir plus sur ces règles, vous pouvez vous reporter à cet article.
La décision de la CNIL ajoute 2 contraintes juridiques supplémentaires pour les traceurs de mesure d’audience Google Analytics.
Pour pouvoir utiliser légalement cette solution, il faudra désormais 2 niveaux d’information et 2 consentements cumulatifs de l’internaute.
Le bandeau renverra à une « Charte sur les cookies ». Ce document sera destiné à donner aux internautes des informations plus détaillées sur les traceurs utilisés, leurs fournisseurs, leur durée de conservation, etc.
Si l’utilisateur n’a pas accepté les 2 conditions, la solution de mesure d’audience ne devra pas collecter ses données.
Pour en savoir plus, vous pouvez consulter notre « Charte d’information sur les cookies« .
- Les experts du web ayant installé Google Analytics sur les sites de leurs clients doivent les informer de cette actualité importante et leur conseiller de prendre des mesures correctives (devoir de conseil). A défaut, ils pourraient s'exposer à des sanctions et/ou à une action en responsabilité de la part de leurs clients. J'ai pour ma part envoyé il y a quelques semaines une newsletter d'information à tous mes clients à ce sujet.
Conclusion :
Utiliser Google Analytics dans la légalité devient vraiment très très contraignant !…
Que risque t’on si on continue d’utiliser Google Analytics sans mettre à jour les mentions juridiques ?
Des sanctions civiles, pénales et administratives sont possibles.
Etant donné que la CNIL a déjà mis en demeure des gestionnaires de sites internet d’arrêter d’utiliser Google Analytics dans sa version actuelle, nous pensons qu’elle n’hésitera pas à condamner les entreprises qui continuent d’utiliser cette solution, sans avoir mis en place de mesures correctives.
Dans ce contexte, il nous parait important d’arrêter d’utiliser Google Analytics et d’opter pour une autre solution de mesure d’audience.
Quelles sont les solutions alternatives à Google Analytics ?
Il existe de nombreuses solutions alternatives à Google Analytics. Le problème est qu’il n’est pas simple d’identifier quelles sont les meilleures solutions de mesures d’audience.
A ce sujet, il nous parait intéressant de se baser sur celles qui sont référencées par la CNIL.
En effet, la CNIL référence à ce jour sur son site une quinzaine de solutions de mesures d’audience pouvant être exemptées du consentement obligatoire, selon leur configuration.
La CNIL pose 2 conditions pour être exempté du consentement
- si la finalité de la collecte de données est strictement limitée à la mesure d'audience du site
- s'il s'agit de produire des données statistiques anonymes uniquement.
Grâce à notre réseau d’experts du Web, nous avons pu tester certaines de ces solutions.
Parmi elles, une seule a véritablement retenu notre attention :
Matomo, anciennement Piwik
Selon nous, Matomo est à ce jour la seule solution de mesure d’audience capable de rivaliser avec Google Analytics et offrant des garanties suffisantes sur la protection des données personnelles des internautes.
Voici les 2 avantages juridiques de la solution Matomo
- Aucun transfert de données n’est réalisé hors UE
- Selon la configuration choisie, il est possible de se passer complètement du consentement des internautes pour la mesure d’audience du site
Matomo propose 3 formules au choix. Chacune de ces formules présentes des avantages et des inconvénients.
Il ne reste plus qu’à faire le bon choix selon votre site, vos besoins et votre budget.
Voici notre comparatif.
Matomo : 3 choix possibles
- Payant, à partir de 19€/mois
- Avantages et inconvénients du cloud
- Exemption de consentement possible
- Gratuit
- Probable pertes de performance selon les sites
- Pas d’exemption sur le consentement possible
- Gratuit (frais éventuels du webmaster)
- Installation niveau avancé
- Exemption de consentement possible
Liste non exhaustive, à suivre selon la veille et l’évolution des choses sur les mois à venir…
Webinaire disponible
En tant qu’experte du Web, la préférence DDESIGN se tourne vers l’offre Auto-hébergement.
L'offre ddesign
Mesure d'audience
- Auto-hébergement
- Configuration de la solution Matomo de votre site (50€ HT en une fois)
-
Maintenance préventive de Matomo et de votre site
(50€ HT / mois sur 12 mois) - Guide d'utilisation
Vous voulez vous assurer que votre site est en conformité légale ?
Adoptez le pack juridique !
- des mentions légales
- une politique de confidentialité (RGPD)
- une charte d’information sur les cookies (RGPD)
Un rendez-vous d’une heure avec Elise peut également être pris, si besoin en option.
Les documents du Pack se personnalisent en fonction de votre site internet et sont accessibles directement sur la plateforme en ligne NUMEDOC 100% avocat.
En tant que partenaire de NUMETIK AVOCATS, DDESIGN vous propose de commander votre pack juridique au tarif préférentiel de 420 euros HT (-20%) au lieu de 525 euros HT.
Voici les 4 avantages de cette solution unique et innovante :
- Vous obtenez facilement la conformité légale de votre site internet grâce à un cabinet d’avocats, expert en droit du web
- Vous obtenez le pack juridique à un tarif préférentiel
- DDESIGN gère directement votre commande de Pack en faisant l’avance des frais
- DDESIGN s’occupe d’intégrer vos documents légaux sur votre site internet
Ressources
- Décision de la CNIL
- Guide de la CNIL sur l'exemption du consentement
- Solutions de mesure d'audience pouvant être exemptés du consentement
- Comparatif de l'offre Matomo
- Installer Matomo : le guide complet
- Mettre en place Matomo (vidéo avancée)
- Websérie conformité du site
- Tout savoir sur WordPress et les obligations
- Tout comprendre sur le RGPD en 5 vidéos
