Actualité

Google Analytics & RGPD : Dangers et solutions

Table des matières

Comme vous le savez, DDESIGN a toujours à cœur d’informer ses clients et collaborateurs des actualités du Web.

Ce mois-ci,  je voudrais vous parler d’une actualité brûlante, qui fait trembler le monde du Web français. Je veux bien sûr parler de la décision de mise en demeure rendue par la CNIL le 10 février 2022 à propos de l’outil de mesure d’audience Google Analytics.

Selon la CNIL, la version actuelle Google Analytics viole le RGPD.

Cette décision affecte des millions d’entreprises françaises, qui utilisent Google Analytics pour mesurer l’audience et la performance de leur site internet.

Elle a aussi de lourdes conséquences pour les nombreux experts du web qui utilisent très régulièrement Google Analytics pour leurs clients (webmaster, référenceur, marketeur…).

Depuis la décision de la CNIL, j’entends beaucoup de réactions disparates. Il n’est pas simple de comprendre clairement et précisément ce qui pose problème avec Google Analytics. D’ailleurs, j’ai constaté que certains experts du web ont fait le choix de continuer à utiliser Google Analytics pour leurs clients, considérant qu’il n’y avait pas un grand danger… alors que d’autres, au contraire, ont alerté leurs clients du risque juridique et leur a conseillé d’enlever rapidement Google Analytics de leur site internet.

Les questions se posent donc :

Compte tenu des nombreuses questions qui se posent et des enjeux associés, j’ai fait appel à ma partenaire de coeur,  Elise Guilhaudis, avocate et experte en Droit du web.

Ensemble, nous  avons rassemblé nos 2 expertises du web, très complémentaires (la technique du web et le droit du web) et avons étudié pendant des jours ce sujet brûlant.

Voici le résultat de notre travail dans cette vidéo et cet article.

Rappelons d’abord comment fonctionne Google Analytics

Google Analytics est une solution de mesure d’audience permettant de suivre les statistiques de fréquentation ou de performance d’un site, quel que soit le type de technologie que vous utilisez. Cette solution utilise des traceurs et permet de suivre individuellement les internautes qui visitent le site.

Google Analytics fonctionne par l’inclusion d’un bloc de code JavaScript sur les pages d’un site web. Quand un internaute visite une page ou article de votre site, ce code JavaScript provoque le chargement d’un fichier JavaScript et exécute alors l’opération de suivi de l’internaute.

L’opération de suivi consiste en la récupération de données relatives à la requête de l’internaute qui navigue sur le site internet en question, à travers différents moyens et l’envoi de ces informations aux serveurs Google Analytics.

 

Le saviez-vous ?

Google Analytics collecte entre autres la requête https de l’utilisateur, des informations sur son navigateur, le terminal utilisé et sur son système d’exploitation. […] . La solution peut même collecter des informations relatives au compte de l’utilisateur. Une fois ces informations collectées, elles sont transmises aux serveurs de Google Analytics, basés aux États-Unis.

Rappel : qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Une personne physique peut être identifiée :

  • directement (par exemple grâce à ses nom et prénom) ;
  • ou indirectement (par exemple : par une ou plusieurs informations de connexion sur internet).
 
Une fois ces définitions rappelées,  il importe de s’interroger sur la décision rendue par la CNIL à propos de Google Analytics. Cette solution représente t’elle réellement un danger juridique aujourd’hui pour les entreprises et les experts du web ?

Google Analytics et RGPD : quel est le danger ?

La CNIL vient de mettre en demeure plusieurs gestionnaires de site de ne plus utiliser la solution de mesure d’audience GA dans sa version actuelle. Elle leur a donné un délai d’un mois pour mettre en place les mesures correctives. A défaut, elle pourra prononcer des sanctions à leur encontre.

Pour apprécier s’il y a vraiment danger, il est nécessaire d’analyser cette décision de la CNIL pour bien comprendre ce qui pose problème au plan RGPD.

Que dit la CNIL dans sa décision à propos de cette solution GA ?

On peut synthétiser cette décision en 3 points :

La CNIL confirme, tout d’abord, que les Données qui sont transférées à Google, dans le cadre de l’utilisation de la solution Google Analytics, sont bien des données personnelles car elles permettent d’identifier les internautes qui naviguent sur le site internet.

Selon la CNIL, il suffit que les personnes soient techniquement identifiables. De plus, plusieurs
informations recoupées entre elles permettent d’individualiser les visiteurs du site.

Par conséquent, le Règlement Européen sur la protection des données personnelles (le RGPD) s’applique à Google.

La CNIL confirme que, dans le cadre de l’utilisation de la solution Google Analytics, des transferts de données sont réalisés vers les serveurs de Google situés aux Etats-Unis et que ces transferts sont encadrés.

La CNIL rappelle que des transferts de données personnelles hors UE ne sont possibles que s’ils sont suffisamment encadrés, conformément aux articles 44 et suivants du RGPD.

Elle rappelle également que, si la loi du pays en question ne protège pas suffisamment les données personnelles ainsi que les droits des personnes concernés (absence de « décision d’adéquation »), il faut alors que les acteurs concernés (c’est-à-dire l’entreprise exportatrice et l’entreprise importatrice des données) mettent en place des « garanties appropriées » et qu’ils s’assurent que les personnes concernées disposent de « droits opposables » et « voies de droit effectives ».

A défaut, le transfert de données hors UE n’est possible que si la personne concernée a été informée du risque de ce transfert pour ses droits et donné son consentement explicite (ou ultime possibilité de transfert : s’il existe un contrat avec la personne concernée et que le transfert des données hors UE est nécessaire).

La CNIL rappelle que Google ne peut plus se baser sur la décision d’adéquation  – le Privacy Shield aux Etats-Unis – puisque celui-ci a été invalidé par la Cour de justice de l’UE dans un arrêt du 16 juillet 2020 Schrems II, en raison des possibilités d’accès aux données par les services de renseignement américains.

La CNIL relève que Google encadre les transferts de données hors UE sur le fondement des « garanties appropriées ». Dans les documents juridiques de Google relatifs à Google Analytics, il y a en effet une annexe intitulée « Google Ads Data Processing Terms ». Cette annexe contient les clauses contractuelles types de la Commission Européenne, destinées à encadrer le transfert vers les États-Unis.

La CNIL estime que, si les transferts de données fait par Google vers les Etats-Unis sont encadrées, les mesures de garanties mises en place ne sont pas suffisantes. 

L’autorité de contrôle rappelle qu’en application de la loi américaine, Google a  l’obligation de fournir au gouvernement américain les données personnelles. Elle ne peut pas refuser (l’article 50 US. Code § 1881a “FISA 702”).

D’ailleurs, le rapport de transparence publié par Google montre que celle-ci est régulièrement destinataire de demandes d’accès aux données par les services de renseignement américains.

La CNIL rappellent que les clauses contractuelles types ne peuvent plus, à elles seules, assurer un niveau de protection suffisant. Il faut désormais des « garanties supplémentaires » classifiées en trois catégories : contractuelles, organisationnelles et techniques.

Or, si la CNIL relève que Google a adopté des mesures contractuelles, organisationnelles et techniques pour compléter les clauses types de protection des données, ces mesures sont insuffisantes, pour empêcher ou réduire de manière significative les possibilités d’accès des services de renseignement américains.

La CNIL relève d’ailleurs à ce sujet que les mesures de chiffrement et de pseudonymisation mises en place sont insuffisantes car elles n’empêchent pas d’accéder aux données en clair.

Les transferts de données vers les Etats-Unis, réalisés grâce à la solution Google Analytics, ne sont pas suffisamment encadrés pour protéger les données personnelles des internautes européens.

Suite à cette décision de la CNIL, il est important de se demander ce que nous devons faire.

Devons-nous arrêter d’utiliser Google Analytics ?

 

Google Analytics est-elle aujourd’hui en France totalement illégale et impossible à utiliser ? 

Non, selon nous, la solution Google Analytics dans sa version actuelle n’est pas totalement illégale et impossible à utiliser.

Mais en pratique, cela devient très compliqué : d’où notre conseil présenté en dernière partie : adopter une solution alternative.

Pour ceux qui souhaiteraient quand même utiliser Google Analytics, comment faire ?

Espérer que Google réagisse rapidement à la décision de la CNIL en prenant des garanties supplémentaires destinées à empêcher ou véritablement limiter les transferts et surtout l’accès possible des données par les services de renseignement américains.

Notre avis : la décision de la CNIL date du 12 février 2022 et Google n’a pas encore réagi à l’heure où nous écrivons cet article. Il n’est pas du tout certain que Google apporte prochainement une solution au problème soulevé par la CNIL.

Il nous semble possible de continuer à utiliser la version actuelle de GA mais à la condition d’ajouter une « couche juridique supplémentaire » dans votre bandeau cookies actuel.

Pour rappel, il existe 2 règles à respecter sur les traceurs :

Règle n°1 : le propriétaire du site doit informer les internautes qui naviguent sur son site qu’il utilise des traceurs. L’information doit porter sur chaque finalité de traceurs ainsi que sur leur fournisseur.

Règle n°2 : le propriétaire du site doit ensuite obtenir le consentement préalable et express de chaque internaute avant de déposer des traceurs. La simple poursuite de la navigation sans consentement n’est plus légale.

L’internaute doit pouvoir accepter ou refuser chaque finalité de traceurs (mesure d’audience, marketing, réseaux sociaux, etc). Pour en savoir plus sur ces règles, vous pouvez vous reporter à cet article.

La décision de la CNIL ajoute 2 contraintes juridiques supplémentaires pour les traceurs de mesure d’audience Google Analytics.

Pour pouvoir utiliser légalement cette solution, il faudra désormais 2 niveaux d’information et 2 consentements cumulatifs de l’internaute.

Le bandeau renverra à une « Charte sur les cookies ». Ce document sera destiné à donner aux internautes des informations plus détaillées sur les traceurs utilisés, leurs fournisseurs, leur durée de conservation, etc.

Si l’utilisateur n’a pas accepté les 2 conditions, la solution de mesure d’audience ne devra pas collecter ses données.

Pour en savoir plus, vous pouvez consulter notre « Charte d’information sur les cookies« .

Conclusion :

Utiliser Google Analytics dans la légalité devient vraiment très très contraignant !…

Que risque t’on si on continue d’utiliser Google Analytics sans mettre à jour les mentions juridiques ?

Des sanctions civiles, pénales et administratives sont possibles.

Etant donné que la CNIL a déjà mis en demeure des gestionnaires de sites internet d’arrêter d’utiliser Google Analytics dans sa version actuelle, nous pensons qu’elle n’hésitera pas à condamner les entreprises qui continuent d’utiliser cette solution, sans avoir mis en place de mesures correctives.

Dans ce contexte, il nous parait important d’arrêter d’utiliser Google Analytics et d’opter pour une autre solution de mesure d’audience.

Quelles sont les solutions alternatives à Google Analytics ?

Il existe de nombreuses solutions alternatives à Google Analytics. Le problème est qu’il n’est pas simple d’identifier quelles sont les meilleures solutions de mesures d’audience.

A ce sujet, il nous parait intéressant de se baser sur celles qui sont référencées par la CNIL.

En effet, la CNIL référence à ce jour sur son site une quinzaine de solutions de mesures d’audience pouvant être exemptées du consentement obligatoire, selon leur configuration.

La CNIL pose 2 conditions pour être exempté du consentement

Grâce à notre réseau d’experts du Web, nous avons pu tester certaines de ces solutions.

Parmi elles, une seule a véritablement retenu notre attention :

Matomo, anciennement Piwik

Selon nous, Matomo est à ce jour la seule solution de mesure d’audience capable de rivaliser avec Google Analytics et offrant des garanties suffisantes sur la protection des données personnelles des internautes.

Voici les 2 avantages juridiques de la solution Matomo

  1. Aucun transfert de données n’est réalisé hors UE
  2. Selon la configuration choisie, il est possible de se passer complètement du consentement des internautes pour la mesure d’audience du site

Matomo propose 3 formules au choix. Chacune de ces formules présentes des avantages et des inconvénients.

Il ne reste plus qu’à faire le bon choix selon votre site, vos besoins et votre budget.

Voici notre comparatif.

Matomo : 3 choix possibles

Hébergement cloud
Extension
Auto-hébergement

Liste non exhaustive, à suivre selon la veille et l’évolution des choses sur les mois à venir…

Webinaire disponible

En tant qu’experte du Web, la préférence DDESIGN se tourne vers l’offre Auto-hébergement.

L'offre ddesign

Mesure d'audience

Vous voulez vous assurer que votre site est en conformité légale ?

Adoptez le pack juridique !

Pour les sites vitrines, Elise Guilhaudis propose un Pack juridique sur mesure, comprenant 3 documents dont 2 sur le RGPD :

Un rendez-vous d’une heure avec Elise peut également être pris, si besoin en option.

Les documents du Pack se personnalisent en fonction de votre site internet et sont accessibles directement sur la plateforme en ligne NUMEDOC 100% avocat.

En tant que partenaire de NUMETIK AVOCATS, DDESIGN vous propose  de commander votre pack juridique au tarif préférentiel de 420 euros HT (-20%) au lieu de 525 euros HT.

Voici les 4 avantages de cette solution unique et innovante :

  • Vous obtenez facilement la conformité légale de votre site internet grâce à un cabinet d’avocats, expert en droit du web
  • Vous obtenez le pack juridique à un tarif préférentiel
  • DDESIGN gère directement votre commande de Pack en faisant l’avance des frais
  • DDESIGN s’occupe d’intégrer vos documents légaux sur votre site internet
 
Votre expert
Deborah Donnier
Deborah Donnier
Chef de projet digital, gérante de DDESIGN

3 réponses

  1. Merci mesdames pour cette analyse très complète !
    Suivant les conseils de Deborah et de la communauté, nous avons installé Matomo pour nos clients sur un serveur dédié chez O2Switch que nous recommandons au passage 🙂

    Deux petites questions en suspens que m’a soufflé un collaborateur :
    – quid d’un éventuel départ un jour d’un client et comment bien l’organiser sur le plan légal ?
    – quid des nouvelles conditions à bien insérer dans les CGV ou contrat de maintenance car, en tant qu’agence ou indépendant, on devient alors responsable des données de suivi de nos clients (qui aura accès à ces données à l’agence, patata – j’imagine qu’il faudra donc bien détaillé ce volet afin de garantir une réelle transparence)
    Merci !

    1. Bonjour Frédérique. Merci pour votre retour positif sur l’article !
      Je réponds à vos questions :
      -sur le départ éventuel d’un client : je vous conseille de l’anticiper en précisant les règles dans votre contrat (devis ou CGV). Il faudra préciser ce que vous faites et la durée de la prestation. Par ex, vous proposez la configuration Matomo en auto-hébergement + la maintenance sur 12 mois.
      -en tant qu’agence ou indépendant, vous êtes à la fois responsable de traitement et sous-traitant de données personnelles (2 casquettes RGPD). S’agissant des données de suivi des internautes, je dirais que c’est la casquette de sous-traitant qui s’applique. Il faudra donc un contrat de sous-traitance RGPD avec le client (obligation RGPD).
      Mais j’imagine que vous en avez probablement déjà un pour la maintenance classique des sites ? Dans ce cas, il couvre peut-être déjà les données de mesures d’audience sur le site.

      1. C’est parfait, vous confirmez ce que notre expert-comptable a mis en place et le contrat de sous-traitance RGPD est souvent oublié mais c’est mal 🙂 En effet, dans nos CGV, un volet particulier avait été mis en place par une consoeur avocate mais une petite mise-à-jour sera nécessaire si installation de Matomo…
        Merci Elise !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Cet article vous plait ? Partagez-le !

Vous aimerez aussi
À découvrir sur le blog
RGPD Tout comprendre en 5 vidéos

RGPD : tout comprendre en 5 vidéos. Aujourd’hui la réglementation est entré en application le 25 mai 2018 et vous vous posez des milliers de