NEWS #Digitale : envie de recevoir nos meilleurs articles ?  Inscription → 

Choses à Savoir Avant de Choisir une Alternative à Google Analytics

Quelles sont les choses à savoir avant de choisir une alternative à Google Analytics ? Le 10 février 2022, des sites web français ont fait l’objet de mise en demeure en raison de transferts illégaux faits par l’outil Google Analytics des données des visiteurs vers les États-Unis. Depuis cette date, la CNIL interdit formellement tous les sites web français d’utiliser cet outil auparavant incontournable pour analyser son audience.

Modification du paramétrage des conditions de traitement de l’adresse IP de Google Analytics ou encore chiffrement des données, ces solutions qui étaient auparavant suggérées par la CNIL elle-même ne suffisent plus depuis que la CNIL a reçu la confirmation de la part de Google que l’ensemble des données collectées par le biais de Google Analytics étaient hébergées dans ses serveurs aux États-Unis. Les éditeurs de sites web français n’ont donc plus le choix que de faire définitivement leur adieu à Google Analytics.

Mais une question se pose : quelle alternative à Google Analytics choisir pour éviter d’éventuels problèmes liés au traitement des données des utilisateurs ? Bien que la CNIL ait déjà dressé en septembre 2021 une liste d’outils de mesure d’audience alternatifs à Google Analytics, il est toutefois important de noter que la publication de cette liste date déjà de septembre 2021. Elle ne prendrait donc pas en compte les nouvelles recommandations ajoutées récemment par la CNIL.

google analytics

Si vous n’êtes pas à jour sur les nouvelles recommandations de la CNIL qui concernent les outils de mesure d’audience de sites internet, découvrez dans cet article les choses importantes à savoir avant de choisir une alternative à Google Analytics.

Quel est le principal problème avec Google Analytics ?

En septembre 2020, la CNIL a formulé des recommandations à destination des éditeurs français pour qu’ils se mettent en conformité avec la règlementation applicable aux cookies. Malheureusement, la plupart de ces éditeurs avaient ignoré que Google Analytics enfreignait les recommandations en question. Résultat, le 10 février 2022, un gestionnaire de sites français a fait l’objet d’une mise en demeure pour l’utilisation pour son usage de cet outil Google. Après enquête, la CNIL aurait constaté que les données des internautes sont transférées vers les États-Unis, ce qui constitue une violation des articles 44 et suivants du RGPD. 

La problématique principale mise en avant par la CNIL est que cet outil mettrait en contact direct via une connexion HTTPS le terminal des visiteurs et les serveurs gérés par Google. Cela offre aux serveurs de Google la possibilité de collecter des données des internautes, notamment leur adresse IP et des informations présentes sur leur terminal.

Utilisez un proxy si vous voulez continuer à utiliser Google Analytics

Dans les faits, la CNIL n’interdit pas l’utilisation de Google Analytics du moment que vous ne la laissez pas collecter les données des internautes. Pour cela, une simple modification du paramétrage de l’outil est insuffisante ; la CNIL recommande la proxyfication. En d’autres termes, vous devez utiliser un serveur mandataire, un proxy donc, qui permet d’empêcher le contact direct entre le terminal de l’internaute et les serveurs de Google.

L’idée avec cette méthode est de faire en sorte que les informations transmises lors des requêtes ne permettent pas l’indentification de l’internaute ni la collecte des données se trouvant sur son terminal. Evidemment, vous devez aussi vous assurer que le serveur mandataire satisfait les recommandations et mesures de la CNIL permettant de limiter les données transférées. Autrement, vous risquez d’avoir le même problème qu’avec Google Analytics.

La proxyfication doit notamment :

  • Empêcher le transfert de l’adresse IP vers les serveurs de l’outil de mesure d’audience utilisé. 
  • Pouvoir remplacer l’identifiant utilisateur ;
  • Supprimer l’information de site référent ;
  • Supprimer tout paramètre contenu dans les URL collectée ;
  • Retraiter les informations pouvant participer à la génération d’une empreinte ;
  • Empêcher toute collecte d’identifiant entre sites ;
  • Et enfin, supprimer toute autre donnée pouvant mener à une réidentification.

Choisir un outil de mesure d’audience qui figure sur la liste de la CNIL ne suffit pas 

Après avoir découvert que Google Analytics et le RGPD ne font pas forcément bon ménage, la CNIL lance le 08 mars 2021 un programme d’évaluation visant à identifier les solutions de mesure d’audience qui sont effectivement exemptées de recueil du consentement préalable de l’utilisateur en application de l’article 82 de la loi Informatique et libertés. Elle a alors invité les éditeurs de solutions de mesure d’audience à soumettre leur outil pour être analysé, puis proposé aux éditeurs de sites web.

Quelques mois plus tard, le 23 septembre 2021 plus précisément, la CNIL publie une liste qui recense les solutions examinées lors du programme d’évaluation. Puisqu’il s’agit d’une liste dressée par la CNIL, les éditeurs de sites web pourraient donc être tentés de juste choisir un outil parmi ceux présentés pour remplacer Google Analytics. Or, il faut déjà comprendre que cet audit faite par la CNIL date déjà de 2021. Depuis, cette dernière a déjà publiée plusieurs recommandations qui concernent l’utilisation des outils de mesure d’audience de site web.

Par ailleurs, les experts rappellent aussi que ce programme visait essentiellement à recenser les outils de mesure d’audience qui répondaient aux critères leur permettant de mettre en place une utilisation d’analytics exemptée du consentement de l’utilisateur. En aucun cas l’audit fait par la CNIL ne permettait de s’assurer de la conformité des outils par rapport aux enjeux posés par les transferts internationaux des données.

Sur le Journal du Net, Ola Mohty, juriste et experte RGPD chez Data Legal Drive invite les éditeurs de sites web à ne pas choisir un outil simplement parce qu’il est dans la liste de la Cnil. Selon elle, une vérification minutieuse auprès de chaque fournisseur est nécessaire pour savoir si un outil de mesure d’audience est conforme ou non.

Les outils sur la liste de la CNIL ne sont pas adaptés si vous voulez faire de la publicité

La liste proposée par la CNIL présente les solutions pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil du consentement. Seulement, l’option sans consentement ne répond pas nécessairement aux besoins de toutes les entreprises. Un très grand nombre de sites web, notamment ceux appartenant aux grandes marques et médias, ont besoin d’accéder aux données des utilisateurs pour d’autres raisons telles que le reciblage ou encore pour vendre des espaces publicitaires.

Dès lors que les données des visiteurs sont utilisées à des fins de communication ou publicitaires, les éditeurs ont l’obligation de demander le consentement des visiteurs, chose impossible avec les outils proposés par la CNIL dans sa liste des solutions de mesure d’audience conformes au RGPD publiée le 23 septembre 2021.

Trois consentements seraient nécessaires pour la publicité et le reciblage, explique Sébastien Gantou, CEO de Digital DPO sur le Journal du Net. Le premier concerne la directive ePrivacy. Le deuxième consentement est en rapport avec l’analyse d’audience. Et enfin, le dernier concerne l’activation publicitaire.

Alternatives à Google Analytics, les solutions européennes ne conviennent pas systématiquement 

Google Analytics n’est pas le seul outil disponible pour les analyses d’audience de sites web. Il existe en effet des tas d’autres outils tout aussi efficaces et qui présentent aussi l’avantage d’être conçus par des Européens, voire des Français et donc qui ne sont pas en violation des articles 44 et suivants du RGPD.

Pourtant, ce serait une erreur de penser ainsi. Sébastien Gantou a précisé sur le Journal du Net qu’une solution française ou européenne n’est pas forcément une solution en règle. Pour ne pas se tromper d’outils d’analyse d’audience, les éditeurs de sites web doivent mener une analyse de risque juridique et technique sur les outils et traitement à mettre en place, a-t-il expliqué. La raison à cela est simple : il existe de nombreux outils, pourtant conçus par des entreprises européennes ou françaises, mais dont les données sont bien hébergées sur des serveurs américains.

Sébastien Gantou a aussi souligné que même si une solution de mesure d’audience est entièrement française ou européenne, si elle est interfacée avec d’autres outils à de fins de reciblage ou d’activation publicitaire qui présentent des risques d’accès aux données par des autorités américaines, le problème se pose toujours. Le problème avec les outils de reciblage ou d’activation publicitaire est qu’ils sont en grande majorité des technologies américaines.

Comment s’assurer que son outil d’analyse d’audience ne viole pas les articles du RGPD

Dans le cas des solutions françaises ou européennes qui s’interfacent à des technologies américaines ou qui ont été conçues par des entreprises françaises ou européennes, mais dont la maison mère est une société américaine, les experts suggèrent aux éditeurs de sites web les actions suivantes pour éviter tout problème lié au traitement des données :

  • Avant de choisir l’outil, demander au prestataire s’il a déjà par le passé transféré des données d’utilisateurs situés en Union européenne à la demande des autorités américaines. S’il l’a déjà fait, même une seule fois, le plus prudent est de trouver un autre prestataire.
  • Obtenir un engagement par écrit du prestataire qui l’obligerait à vous prévenir si jamais les autorités américaines venaient à lui demander d’accéder à ces données, des données qui sont aussi les vôtres et celles de ses clients.
  • L’engagement écrit doit s’accompagner de garanties financières. Il obligerait le prestataire à vous verser une certaine somme d’argent quand un de ses engagements n’est pas respecté.

Auteur Antonio Rodriguez Mota Editeur et Directeur de Clever Technologies

4.8/5 - (6 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *