NEWS #Digitale : envie de recevoir nos meilleurs articles ?  Inscription → 

Google Analytics et RGPD : l’utiliser est-il vraiment illégal ?

Utiliser Google Analytics est-il désormais illégal en France ? Est-il possible de bien le paramétrer ? Quels sont les risques encourus ? Quelles sont les alternatives légales ?

L’utilisation de Google Analytics et le transfert des données de navigation vers les États-Unis est-il illégal en France ? Un récent communiqué de la CNIL nous le laisse penser. Voici quelques éléments et réponses à des questions associées à la publication de ce communiqué du 10 Février 2022.

Quels sont les faits, en bref ?

Suite à une plainte de l’association NOYB, la CNIL a mis en demeure un éditeur d’un site internet utilisant Google Analytics en estimant que le transfert des données collectées vers les États-Unis était contraire aux articles 44 et suivants du RGPD. L’éditeur en question a 1 mois pour se mettre en conformité.

Qu’a dit la CNIL à propos de Google Analytics ?

Dans son communiqué du 10 Février 2022, la CNIL n’a pas officiellement déclaré que Google Analytics était illégal en France au vu du RGPD, toutefois, l’enregistrement d’ID de sessions (qui est considéré comme une donnée personnelle par le RGPD) par l’outil et le transfert de ces données aux États-Unis est, lui, non conforme au RGPD.

Le fait que Google Analytics ne puisse à ce jour pas héberger les données en Union Européenne, qu’il ne propose pas la possibilité de ne pas créer un session ID et que les services de renseignement Américains puissent (sur demande) accéder aux données collectées, le rend donc non conforme au RGPD et donc « illégal » aux yeux de la CNIL.

À aucun moment dans son communiqué, la CNIL a déclaré que l’utilisation de Google Analytics était totalement illégal en France, mais cette décision fait office de jurisprudence.

Est-il possible de bien paramétrer Google Analytics pour être totalement conforme au RGPD ?

Au jour de la rédaction de cet article, non.

Bien qu’il existe des moyens d’anonymiser les IP, limiter la durée de rétention des données, ces configurations ne sont pas suffisantes pour être en conformité à 100%.

Est-il possible de paramétrer Google Analytics pour ne pas collecter d’ID de sessions ?

Même si la solution de web analyse de Google est « bien paramétrée », elle recueillera toujours des ID de sessions.

L’anonymisation des IP des utilisateurs, une solution pour garder Google Analytics ?

Non, ce n’est malheureusement pas suffisant.

Bien que cette fonctionnalité soit intégrée désormais nativement dans GA4 (Google Analytics 4) et configurable simplement dans le script de tracking de la version Universal Analytics de la solution de web analyse, l’hébergement des sessions ID hors d’Europe avec un accès possible à ces données par les agences de renseignement américaines reste contraire au RGPD.

Quel est le risque de continuer à utiliser Google Analytics ? Une mise en demeure ? Une amende ? Les deux ?

À ce jour, aucune sanction financière n’a été communiquée par la CNIL mais en continuant d’utiliser cette solution, chaque propriétaire de site internet s’expose aujourd’hui à une mise en demeure de la CNIL lui laissant un délai d’un mois pour se mettre en conformité.

Si aucune sanction financière n’a été communiquée à date sur ce cas, le non-respect de la collecte du consentement pour le dépôt de cookies est lui sanctionné à hauteur de 2% su CA annuel de la société mise en demeure. Il n’est pas exclu que cette même sanction soit prochainement appliquée aux entreprises ne respectant pas le RGPD avec leur logiciel de mesure d’audience…

Des alternatives à Google Analytics ?

Alternatives pour suivre son audience en accord avec le RGPD

Les meilleures alternatives à Google Analytics auditée et validée par la CNIL sont :

  • Analytics Suite Delta de AT Internet
  • Matomo Analytics de Matomo
  • Eulerian de Eulerian Technologies

Attention toutefois, ces alternatives doivent être correctement paramétrées (en suivant les guides d’installation référencés sur la CNIL) pour qu’elles soient 100% conformes avec le RGPD, il est fortement recommandé de faire installer ces solutions par des experts en web analytics qui ont l’habitude de cette problématique.

S’il existe d’autres alternatives plus ou moins reconnues, nous te recommandons vivement d’utiliser des services installés sur des millions de sites web, ces derniers seront plus fiables et mieux maintenus dans le temps, ils seront également généralement plus réactifs pour le déploiement de patchs en cas de faille de sécurité.

Alternatives pour obtenir de statistiques basiques sans besoin du consentement de l’internaute

Ces 5 solutions permettent à n’importe quel éditeur de site web d’obtenir des données simples sur l’utilisation de son site web sans déposer le moindre cookie sur l’ordinateur de l’internaute :

Ces outils ne nécessitent donc pas l’utilisation d’un bandeau de consentement aux cookies.

Google Analytics va-t-il proposer un moyen d’utiliser son outil tout en étant conforme au RGPD ?

Dans un récent communiqué, la société américaine a indiqué travailler sur la question. Plus de détails seront partagés dans les prochaines semaines mais à ce jour, rien n’est fait ni paramétrable pour être en totale conformité avec le RGPD (même si l’anonymisation de l’IP est configurée, le délai de stockage des données, …).

« Nous nous efforçons d’ajouter des contrôles supplémentaires qui permettront aux clients de personnaliser davantage les données d’analyse qu’ils collectent, leur permettant ainsi de continuer à utiliser Google Analytics d’une manière conforme à leurs objectifs de conformité. Nous prévoyons de partager plus de détails dans les semaines à venir. »

Google Analytics

Disclaimer : cet article a été rédigé à titre d’information uniquement, des analyses plus poussées avec des avocats et juristes spécialisés sont fortement recommandées pour être sûr de prendre la bonne décision et ne pas risquer de sanction financière (à terme) pour non-respect du RGPD.

FAQ : Quelles sont les bases à connaitre pour être en conformité ?

Qu’est-ce que la CNIL ?

La CNIL, ou Commission Nationale de l’Informatique et des Libertés en français, est l’autorité française de protection des données. Elle a été créée par la loi en 1978 pour veiller de manière indépendante à ce que les données personnelles soient traitées et protégées correctement.

La CNIL s’efforce de protéger la sécurité et la vie privée des personnes lorsqu’il s’agit de l’utilisation et du stockage de leurs données personnelles. Elle garantit un traitement sécurisé de ces données, met en cause les entreprises non conformes, encourage les droits des personnes à accéder à leurs données personnelles, et fait comprendre l’importance de la vie privée pour la société.

De plus, la CNIL veille à la conformité avec le Règlement général sur la protection des données (RGPD) de l’Union européenne, un ensemble de règlements qui régissent la façon dont les entreprises stockent et traitent les données des clients.

Quel type de données récoltées avec Google Analytics le RGPD vous interdit de collecter ?

Le règlement général sur la protection des données (RGPD) interdit la collecte de données personnelles des utilisateurs par le biais de Google Analytics. Cela inclut tous les identifiants personnels des clients ou des clients, tels que leur nom, leur adresse, leur numéro de téléphone, leur adresse électronique, leurs coordonnées bancaires, leurs informations médicales et leurs données de localisation.

Le RGPD interdit également la collecte de données personnelles sensibles telles que l’origine raciale ou ethnique, les opinions politiques et les croyances religieuses. Toute activité de profilage impliquant le comportement ou les préférences des utilisateurs est également interdite par le GDPR.

Il est important de se conformer à la loi pour protéger les droits des utilisateurs ainsi que pour éviter les amendes coûteuses qui accompagnent une mauvaise conformité. Les entreprises doivent prendre les mesures nécessaires pour mettre en place des formulaires de consentement des utilisateurs sur leur site Web avant que des données puissent être collectées par Google Analytics.

Les entreprises ont également la responsabilité de supprimer ou d’anonymiser les données lorsqu’un client le demande. Se tenir au courant des réglementations en matière de protection de la vie privée garantit une meilleure protection des données des clients et contribue également à préserver l’image de marque de votre entreprise.

Qu’est-ce qu’une donnée personnelle au sens du RGPD ?

En vertu du règlement général sur la protection des données (RGPD), les données personnelles sont définies comme toute information relative à une personne physique identifiée ou identifiable. Cela inclut des éléments comme le nom, l’adresse et l’adresse électronique, mais couvre également des données plus sensibles comme les dossiers médicaux, les affiliations religieuses et les informations biométriques.

Les données personnelles peuvent être recueillies par contact direct avec les personnes, par exemple au moyen de questionnaires ou d’enquêtes, mais elles peuvent aussi être recueillies indirectement auprès de tiers.

Dans certains cas, les entreprises peuvent prendre connaissance de données personnelles simplement en traitant les achats et les habitudes de navigation des clients ou en suivant les identifiants des appareils. Les entreprises doivent s’assurer qu’elles collectent et traitent les données personnelles de manière licite, en obtenant au préalable le consentement explicite de la personne concernée. Les entreprises ont également la responsabilité de protéger les données personnelles qu’elles stockent en interne tout en garantissant leur exactitude et leur mise à jour.

Avant de se quitter…

Si cet article sur Google analytics et RGPD vous a plu, n’hésitez pas à le partager sur les réseaux sociaux et à vous abonner à notre newsletter digitale pour recevoir nos prochains articles.

Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).

Nous sommes aussi actifs sur Linkedin, Twitter, Facebook et YouTube. On s’y retrouve ?

Pour toute question associée à cet article, n’hésitez pas à utiliser la section « commentaires » pour nous faire part de votre remarque, nous vous répondrons dans les meilleurs délais (avec plaisir). 

4.9/5 - (10 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *