Utiliser Google Analytics est-il désormais illégal en France ? Est-il possible de bien le paramétrer ? Quels sont les risques encourus ? Quelles sont les alternatives légales ?
Accès rapide (Sommaire) :
Suite à une plainte de l’association NOYB, la CNIL a mis en demeure un éditeur d’un site internet utilisant Google Analytics en estimant que le transfert des données collectées vers les États-Unis était contraire aux articles 44 et suivants du RGPD. L’éditeur en question a 1 mois pour se mettre en conformité.
Dans son communiqué du 10 Février 2022, la CNIL n’a pas officiellement déclaré que Google Analytics était illégal en France au vu du RGPD, toutefois, l’enregistrement d’ID de sessions (qui est considéré comme une donnée personnelle par le RGPD) par l’outil et le transfert de ces données aux États-Unis est, lui, non conforme au RGPD.
Le fait que Google Analytics ne puisse à ce jour pas héberger les données en Union Européenne, qu’il ne propose pas la possibilité de ne pas créer un session ID et que les services de renseignement Américains puissent (sur demande) accéder aux données collectées, le rend donc non conforme au RGPD et donc « illégal » aux yeux de la CNIL.
À aucun moment dans son communiqué, la CNIL a déclaré que l’utilisation de Google Analytics était totalement illégal en France, mais cette décision fait office de jurisprudence.
Au jour de la rédaction de cet article, non.
Bien qu’il existe des moyens d’anonymiser les IP, limiter la durée de rétention des données, ces configurations ne sont pas suffisantes pour être en conformité à 100%.
Même si la solution de web analyse de Google est « bien paramétrée », elle recueillera toujours des ID de sessions.
Non, ce n’est malheureusement pas suffisant.
Bien que cette fonctionnalité soit intégrée désormai nativement dans GA4 (Google Analytics 4) et configurable simplement dans le script de tracking de la version Universal Analytics de la solution de web analyse, l’hébergement des sessions ID hors d’europe avec un accès possible à ces données par les agences de renseignement américaines reste contraire au RGPD.
À ce jour, aucune sanction financière n’a été communiquée par la CNIL mais en continuant d’utiliser cette solution, chaque propriétaire de site internet s’expose aujourd’hui à une mise en demeure de la CNIL lui laissant un délai d’un mois pour se mettre en conformité.
Si aucune sanction financière n’a été communiquée à date sur ce cas, le non-respect de la collecte du consentement pour le dépôt de cookies est lui sanctionné à hauteur de 2% su CA annuel de la société mise en demeure. Il n’est pas exclu que cette même sanction soit prochainement appliquée aux entreprises ne respectant pas le RGPD avec leur logiciel de mesure d’audience…
Les meilleures alternatives à Google Analytics auditée et validée par la CNIL sont :
Attention toutefois, ces alternatives doivent être correctement paramétrées (en suivant les guides d’installation référencés sur la CNIL) pour qu’elles soient 100% conformes avec le RGPD, il est fortement recommandé de faire installer ces solutions par des experts en web analytics qui ont l’habitude de cette problématique.
S’il existe d’autres alternatives plus ou moins reconnues, nous te recommandons vivement d’utiliser des services installés sur des millions de sites web, ces derniers seront plus fiables et mieux maintenus dans le temps, ils seront également généralement plus réactifs pour le déploiement de patchs en cas de faille de sécurité.
Ces 5 solutions permettent à n’importe quel éditeur de site web d’obtenir des données simples sur l’utilisation de son site web sans déposer le moindre cookie sur l’ordinateur de l’internaute :
Ces outils ne nécessitent donc pas l’utilisation d’un bandeau de consentement aux cookies.
Dans un récent communiqué, la société Américaine a indiqué travailler sur la question. Plus de détails seront partagés dans les prochaines semaines mais à ce jour, rien n’est fait ni paramétrable pour être en totale conformité avec le RGPD (même si l’anonymisation de l’IP est configurée, le délai de stockage des données, …).
« Nous nous efforçons d’ajouter des contrôles supplémentaires qui permettront aux clients de personnaliser davantage les données d’analyse qu’ils collectent, leur permettant ainsi de continuer à utiliser Google Analytics d’une manière conforme à leurs objectifs de conformité. Nous prévoyons de partager plus de détails dans les semaines à venir. »
Disclaimer : cet article a été rédigé à titre d’information uniquement, des analyses plus poussées avec des avocats et juristes spécialisés sont fortement recommandées pour être sûr de prendre la bonne décision et ne pas risquer de sanction financière (à terme) pour non-respect du RGPD.
Votre adresse e-mail ne sera pas publiée.
Lancé en 2014 et aujourd’hui visité chaque mois par plusieurs centaines de milliers de professionnels du numérique, LEPTIDIGITAL est un media marketing digital vous proposant le meilleur de l’actualité digitale (SEO, Webmarketing, Social Media, SEA, Emailing, E-commerce, Growth Hacking, UX …) en plus d’astuces et tutoriels détaillés.
Vous souhaitez…
Recevoir notre newsletter marketing digital ?
Annoncer sur leptidigital ?