Quelles sont les mesures d’utilisation de Google Analytics suite à la décision de la CNIL ?

Article mis à jour le 03 août 2023.

Ecrit par

Lou Rédac

Publié le

Catégorie

Site internet

Lecture

6 minutes

RGPD CNIL Lois Analyse Cookie RGPD CNIL Lois Analyse Cookie RGPD CNIL Lois Analyse Cookie RGPD CNIL Lois Analyse Cookie

La Commission nationale de l’informatique et des libertés (CNIL) attaque Google pour non-respect du RGPD, soit la protection des données personnelles. Google Analytics est dans le viseur, la Commission estime que le transfert des données privées des Européens vers les USA n’est pas suffisamment encadré. L’outil d’analyse d’audience proposé par Google doit être utilisé de manière à ne pas divulguer des données sensibles aux Américains sous peine de sanction. Plus de 6 entreprises françaises doivent se mettre en conformité avec la loi informatique et liberté dans un délai d’un mois. Dans quelles mesures peut-on encore utiliser Google Analytics suite aux exigences de la CNIL ?

À quoi sert Google Analytics ?

Cet outil gratuit a été lancé par Google en 2005 pour permettre à toutes les entreprises d’analyser l’audience de leur site web. Les pages sont taguées grâce à un paramétrage personnalisable pour que les données soient rapportées sous forme de tableau. Chaque visiteur du site client a automatiquement un identifiant unique, ce qui représente une donnée à caractère personnel.
Le web analytics va ainsi récolter et analyser :

  • la source du trafic
  • les terminaux mobiles servant aux utilisateurs
  • les conversions effectuées
  • le SEO (Search Engine Optimization) ou référencement naturel
  • le trafic provenant des réseaux sociaux

Répondant aux besoins constants des entreprises pour mieux connaître leur cible, Google Analytics (GA) évolue en permanence. Il permet de recueillir tous les mouvements en temps réel et peut même calculer le ROI des réseaux sociaux, soit le retour sur investissement. Plus qu’un simple outil, il favorise la bonne optimisation d’un site web dans le cadre d’une stratégie digitale optimale.

Allié aux comptes Google Search Console, AdSense et AdWords, GA devient un puissant outil d’analyse du web pour propulser son activité. Google propose une version premium payante, Analytics 360, adaptée aux grandes entreprises. Elle permet d’accéder à des outils plus avancés, tels que des rapports détaillés et personnalisables sur les entonnoirs de conversion, une fréquence d’actualisation des données garantie toutes les 4 heures, ainsi que des services complémentaires avec un réseau international de partenaires.

Comment protéger les données récoltées ? Que dit la CNIL ?

Les autorités de protection des données ont été saisies par l’association européenne My Privacy Is None of Your Business (NOYB) accusant les utilisateurs de Google Analytics de transférer des données personnelles vers les États-Unis. Voici les explications !

Qu’est-ce que la CNIL ?

La Commission nationale de l'informatique et des libertés (CNIL) est un règlement général sur la protection des données (le RGPD) fixé par le Parlement européen le 27 avril 2016. Il fait l’objet d’un nouveau règlement datant du 25 mai 2018, ayant pour objectif de :

  • renforcer la protection et le droit des personnes
  • sensibiliser tous les acteurs traitant et sous-traitant des données personnelles, y compris les professionnels
  • cadrer le traitement des données notamment lorsqu’elles sortent du territoire.

La CNIL, dans le cadre de la loi informatique et liberté, impose aux entreprises d’être transparentes quant à la collecte d'informations personnelles d’individus ou d’autres structures et surtout, de récolter uniquement les données dont elles ont besoin pour leur activité. L’autorité de contrôle des données sensibles se montre intransigeante et souhaite responsabiliser chaque acteur, n’hésitant pas à appliquer des sanctions pénales si les articles 44 et suivants du RGPD ne sont pas respectés.

Pourquoi 101 plaintes ont été déposées contre des gérants de sites web ?

Jeudi 10 février 2022, la CNIL a mis en demeure un gestionnaire de site web qui utilise Google Analytics. La Commission reproche à l’outil de transférer des données à caractère personnel, notamment l’adresse IP des visiteurs des sites clients, vers les USA, ce qui ne respecte pas le règlement sur la loi informatique et liberté en vigueur en Europe. Le gérant risque une amende salée représentant jusqu’à 4 % de son chiffre d’affaires.

Pour mieux comprendre, il faut remonter un peu le temps. En juillet 2020, la Cour de Justice de l’Union Européenne a rejeté le Privacy Shield dit Schems II. Cette loi américaine, entrée en vigueur le 1er août 2016, obligeait les entreprises américaines collectant des données sensibles européennes de s’inscrire sur un registre. Cependant, la CNIL estime que la protection des données ainsi transférées n’est pas optimale.

Depuis, à la date de la publication de cet article, 101 plaintes ont été dénombrées, 6 sites internet français sont concernés : Auchan, Decathlon, Free, Leroy Merlin, le Huffington Post, et Sephora. Ils disposent d’un mois pour se mettre en conformité du RGPD. Les pays américains autorisent, quant à eux, l’exploitation des données privées de leurs citoyens sans leur consentement.

L’autorité de contrôle des données européennes a tout de suite réagi en dénonçant ces pratiques. Elle impose des sanctions à toute entreprise européenne qui dévoile l’adresse IP des internautes se rendant sur leur site. Ce problème transnational reviendrait au Comité européen de la protection des données (EBPD), d’après Alan Walter du Cabinet Walter Billet Avocats.

Comment utiliser Google Analytics tout en répondant aux exigences de la CNIL ?

Deux solutions sont aujourd’hui possibles pour utiliser l’outil de statistiques de manière légale :

Anonymiser les données

Pour continuer à utiliser Google Analytics tout en répondant aux exigences de la CNIL, il suffit de rendre les données récoltées anonymes. Google met à disposition de ses utilisateurs un blogspot expliquant en détail toutes les fonctionnalités du web analytics pour anonymiser les données. Il rappelle que le téléchargement des informations recueillies par Google pour identifier une personne est illégal. De plus, il est possible de supprimer ces données de leurs serveurs. L’utilisateur de l’outil reste donc maître à bord, il est seul responsable du traitement des données.

Faire transiter les données vers un serveur européen

Une autre solution consisterait à transférer les données sur un serveur européen. En effet, les nouvelles clauses contractuelles types de la commission européenne (CCT) imposent à l’exportateur de se référer à la législation du pays lors de transfert de données. La loi sur la protection des données sensibles étant la même en Europe, l’utilisateur ne sera pas poursuivi par la CNIL.

Quelles sont les alternatives à Google Analytics pour les entreprises ?

Les entreprises qui ne souhaitent plus utiliser Google Analytics peuvent avoir recours à une analyse de l’audience de leur site sans condamnations pénales. Voici les alternatives possibles :

Utiliser d’autres outils web analytics

La CNIL a publié un article concernant les “solutions pour les outils de mesure d’audience” d’un site web. D’une part, elle rappelle dans quels cas les cookies sont exemptés du consentement de l’utilisateur conformément à la législation. D’autre part, elle a auditionné et validé plusieurs outils permettant de suivre en détail le trafic d’un site web.

En voici un échantillon :

  1. Matomo : anciennement Piwik, ce logiciel web analytique peut se configurer sur son serveur, ce qui rend l’utilisateur seul maître des données collectées. Cet outil tout-en-un permet d’analyser son trafic, mais contient aussi des recommandations SEO avancées et la possibilité d’intégrer facilement son CMS.
  2. Eulerian de Eulerian Technologies : cette plateforme permet d’analyser son site de manière fiable tout en garantissant la sécurité des données sensibles.
  3. Analytics Suite : solution d’analyse puissante et éthique, cet outil favorise la gestion de l’UX tout en optimisant son tunnel de conversion.

Attendre les nouveaux contrats de licence franco-américains

Des discussions sont en cours évoquant la possibilité de création de licences accordées aux Américains par les entreprises françaises. Ces nouveaux contrats franco-américains permettraient de protéger les données européennes face aux lois américaines et ainsi d’être en conformité avec le RGPD. Ce type de licence fonctionne déjà avec Microsoft et Orange ou Thales et Google, par exemple.

Ce qu’il faut retenir de cette problématique, c’est que les professionnels du web peuvent continuer à utiliser Google analytics à condition d’anonymiser les données. Certains préfèrent se tourner vers d’autres outils pour analyser le trafic de leur site web en attendant qu’une solution soit apportée. La CNIL élargit son contrôle des données personnelles des Européens. Facebook Connect avec Meta serait aussi dans le collimateur de la Commission. Affaire à suivre de très près !

Si vous rencontrez des difficultés pour vous mettre en conformité RGPD avec votre compte Google Analytics, contactez nos experts, ils s'occupent de tout.

Lou Rédac

Lou Rédac

Rédactrice web SEO

Créatrice de contenu web, correctrice littéraire, autrice de poésie bilingue 🇨🇵🇪🇸

Partagez notre article

autour de vous !

Recevez nos derniers articles par mail

Inscrivez-vous à notre newsletter mensuelle

© 2019 - 2024 Tous droits réservés par Beavers

|

Mentions légales

|

Politique RGPD