Utiliser Google Analytics est-il désormais illégal en France ? Est-il possible de bien le paramétrer ? Quels sont les risques encourus ? Quelles sont les alternatives légales ?
Utiliser Google Analytics est-il désormais illégal en France ? Est-il possible de bien le paramétrer ? Quels sont les risques encourus ? Quelles sont les alternatives légales ?
Accès rapide (Sommaire) :
Suite à une plainte de l’association NOYB, la CNIL a mis en demeure un éditeur d’un site internet utilisant Google Analytics en estimant que le transfert des données collectées vers les États-Unis était contraire aux articles 44 et suivants du RGPD. L’éditeur en question a 1 mois pour se mettre en conformité.
Dans son communiqué du 10 Février 2022, la CNIL n’a pas officiellement déclaré que Google Analytics était illégal en France au vu du RGPD, toutefois, l’enregistrement d’ID de sessions (qui est considéré comme une donnée personnelle par le RGPD) par l’outil et le transfert de ces données aux États-Unis est, lui, non conforme au RGPD.
Le fait que Google Analytics ne puisse à ce jour pas héberger les données en Union Européenne, qu’il ne propose pas la possibilité de ne pas créer un session ID et que les services de renseignement Américains puissent (sur demande) accéder aux données collectées, le rend donc non conforme au RGPD et donc « illégal » aux yeux de la CNIL.
À aucun moment dans son communiqué, la CNIL a déclaré que l’utilisation de Google Analytics était totalement illégal en France, mais cette décision fait office de jurisprudence.
Au jour de la rédaction de cet article, non.
Bien qu’il existe des moyens d’anonymiser les IP, limiter la durée de rétention des données, ces configurations ne sont pas suffisantes pour être en conformité à 100%.
Même si la solution de web analyse de Google est « bien paramétrée », elle recueillera toujours des ID de sessions.
Non, ce n’est malheureusement pas suffisant.
Bien que cette fonctionnalité soit intégrée désormais nativement dans GA4 (Google Analytics 4) et configurable simplement dans le script de tracking de la version Universal Analytics de la solution de web analyse, l’hébergement des sessions ID hors d’Europe avec un accès possible à ces données par les agences de renseignement américaines reste contraire au RGPD.
À ce jour, aucune sanction financière n’a été communiquée par la CNIL mais en continuant d’utiliser cette solution, chaque propriétaire de site internet s’expose aujourd’hui à une mise en demeure de la CNIL lui laissant un délai d’un mois pour se mettre en conformité.
Si aucune sanction financière n’a été communiquée à date sur ce cas, le non-respect de la collecte du consentement pour le dépôt de cookies est lui sanctionné à hauteur de 2% su CA annuel de la société mise en demeure. Il n’est pas exclu que cette même sanction soit prochainement appliquée aux entreprises ne respectant pas le RGPD avec leur logiciel de mesure d’audience…
Les meilleures alternatives à Google Analytics auditée et validée par la CNIL sont :
Attention toutefois, ces alternatives doivent être correctement paramétrées (en suivant les guides d’installation référencés sur la CNIL) pour qu’elles soient 100% conformes avec le RGPD, il est fortement recommandé de faire installer ces solutions par des experts en web analytics qui ont l’habitude de cette problématique.
S’il existe d’autres alternatives plus ou moins reconnues, nous te recommandons vivement d’utiliser des services installés sur des millions de sites web, ces derniers seront plus fiables et mieux maintenus dans le temps, ils seront également généralement plus réactifs pour le déploiement de patchs en cas de faille de sécurité.
Ces 5 solutions permettent à n’importe quel éditeur de site web d’obtenir des données simples sur l’utilisation de son site web sans déposer le moindre cookie sur l’ordinateur de l’internaute :
Ces outils ne nécessitent donc pas l’utilisation d’un bandeau de consentement aux cookies.
Dans un récent communiqué, la société américaine a indiqué travailler sur la question. Plus de détails seront partagés dans les prochaines semaines mais à ce jour, rien n’est fait ni paramétrable pour être en totale conformité avec le RGPD (même si l’anonymisation de l’IP est configurée, le délai de stockage des données, …).
« Nous nous efforçons d’ajouter des contrôles supplémentaires qui permettront aux clients de personnaliser davantage les données d’analyse qu’ils collectent, leur permettant ainsi de continuer à utiliser Google Analytics d’une manière conforme à leurs objectifs de conformité. Nous prévoyons de partager plus de détails dans les semaines à venir. »
Google Analytics
Disclaimer : cet article a été rédigé à titre d’information uniquement, des analyses plus poussées avec des avocats et juristes spécialisés sont fortement recommandées pour être sûr de prendre la bonne décision et ne pas risquer de sanction financière (à terme) pour non-respect du RGPD.
La CNIL, ou Commission Nationale de l’Informatique et des Libertés en français, est l’autorité française de protection des données. Elle a été créée par la loi en 1978 pour veiller de manière indépendante à ce que les données personnelles soient traitées et protégées correctement.
La CNIL s’efforce de protéger la sécurité et la vie privée des personnes lorsqu’il s’agit de l’utilisation et du stockage de leurs données personnelles. Elle garantit un traitement sécurisé de ces données, met en cause les entreprises non conformes, encourage les droits des personnes à accéder à leurs données personnelles, et fait comprendre l’importance de la vie privée pour la société.
De plus, la CNIL veille à la conformité avec le Règlement général sur la protection des données (RGPD) de l’Union européenne, un ensemble de règlements qui régissent la façon dont les entreprises stockent et traitent les données des clients.
Le règlement général sur la protection des données (RGPD) interdit la collecte de données personnelles des utilisateurs par le biais de Google Analytics. Cela inclut tous les identifiants personnels des clients ou des clients, tels que leur nom, leur adresse, leur numéro de téléphone, leur adresse électronique, leurs coordonnées bancaires, leurs informations médicales et leurs données de localisation.
Le RGPD interdit également la collecte de données personnelles sensibles telles que l’origine raciale ou ethnique, les opinions politiques et les croyances religieuses. Toute activité de profilage impliquant le comportement ou les préférences des utilisateurs est également interdite par le GDPR.
Il est important de se conformer à la loi pour protéger les droits des utilisateurs ainsi que pour éviter les amendes coûteuses qui accompagnent une mauvaise conformité. Les entreprises doivent prendre les mesures nécessaires pour mettre en place des formulaires de consentement des utilisateurs sur leur site Web avant que des données puissent être collectées par Google Analytics.
Les entreprises ont également la responsabilité de supprimer ou d’anonymiser les données lorsqu’un client le demande. Se tenir au courant des réglementations en matière de protection de la vie privée garantit une meilleure protection des données des clients et contribue également à préserver l’image de marque de votre entreprise.
En vertu du règlement général sur la protection des données (RGPD), les données personnelles sont définies comme toute information relative à une personne physique identifiée ou identifiable. Cela inclut des éléments comme le nom, l’adresse et l’adresse électronique, mais couvre également des données plus sensibles comme les dossiers médicaux, les affiliations religieuses et les informations biométriques.
Les données personnelles peuvent être recueillies par contact direct avec les personnes, par exemple au moyen de questionnaires ou d’enquêtes, mais elles peuvent aussi être recueillies indirectement auprès de tiers.
Dans certains cas, les entreprises peuvent prendre connaissance de données personnelles simplement en traitant les achats et les habitudes de navigation des clients ou en suivant les identifiants des appareils. Les entreprises doivent s’assurer qu’elles collectent et traitent les données personnelles de manière licite, en obtenant au préalable le consentement explicite de la personne concernée. Les entreprises ont également la responsabilité de protéger les données personnelles qu’elles stockent en interne tout en garantissant leur exactitude et leur mise à jour.
Avant de se quitter…
Si cet article sur Google analytics et RGPD vous a plu, n’hésitez pas à le partager sur les réseaux sociaux et à vous abonner à notre newsletter digitale pour recevoir nos prochains articles.
Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).
Nous sommes aussi actifs sur Linkedin, Twitter, Facebook et YouTube. On s’y retrouve ?
Pour toute question associée à cet article, n’hésitez pas à utiliser la section « commentaires » pour nous faire part de votre remarque, nous vous répondrons dans les meilleurs délais (avec plaisir).
Fondateur de LEPTIDIGITAL et consultant SEO senior, je suis un grand passionné de marketing digital et de SEO. Avant d’être indépendant à 100 %, j’ai travaillé en tant qu’SEO manager et responsable e-commerce pour différentes sociétés (Altice Media, Infopro Digital, Voyage Privé, Groupe ERAM). (Sur le plan perso, je suis un grand curieux aussi passionné par l’IA, la photographie et les voyages !). PS : Si vous souhaitez me contactez, privilégiez LinkedIn ou l’email. Pour me contacter : [email protected]