Profitez, durant ce mois d’août, de rediffusion des billets écrits par les rédactrices et rédacteurs d’Etourisme.info tout au long de l’année.
Ce billet de Mathieu Bruc a été publié pour la première fois en mai 2022.
En février dernier, la CNIL mettait en demeure un gestionnaire du site web français à se conformer au Règlement Général sur la Protection des Données (RGPD). En effet, les statistiques de fréquentation collectées par Google Analytics et transférées aux États-Unis sont illégales pour la CNIL. Par conséquent, quelles sont les solutions pour les organismes de gestion de la destination qui veulent s’inscrire dans des politiques responsables des données utilisateurs et respectueuses du cadre légal ? Matomo peut-il s’imposer comme une alternative pertinente ?
Si cette mise en demeure cible un gestionnaire de site en particulier, tous les sites exploitant Google Analytics pourraient être concernés. En mai 2022, le logiciel couvre 55,5% de l’ensemble des sites Internet, soit une part de marché de l’outil d’analyse de trafic de 85,8%. Comment expliquer une telle hégémonie ?
Premièrement, Google Analytics s’inscrit dans la suite logique d’autres outils de l’écosystème de la firme américaine comme Google Search Console et bien entendu Google Ads, sa régie publicitaire. Tous bénéficient de la puissance de frappe marketing de Google LLC.
Deuxièmement, il est gratuit. En contrepartie, les données utilisateurs exploitées dans l’ombre prennent une valeur inestimable.
Troisièmement, ses fonctionnalités sont tentaculaires. Même si certaines sont parfois volontairement limitées. Par exemple, les mots clés qui génèrent du trafic sont volontairement masqués pour favoriser le système publicitaire d’achats de mots clés Google Ads. CQFD.
En définitive, Google Analytics est extrêmement répandu, notamment sur les sites du tourisme institutionnel.
Pour répondre à ces deux questions complexes sur les aspects légaux et d’usage, je me suis entouré de plusieurs spécialistes.
Dans la première partie de l’article, Sébastien Gantou (Digital DPO) et Lionel Cherpin (Empirik) apporteront un éclairage juridique sur les risques à conserver Google Analytics. En parallèle, nous aborderons avec eux les choix techniques d’une solution alternative comme Matomo.
Enfin dans la dernière partie, Cédric Chabry et Laëtitia Georgeon (ThinkMyWeb), partageront leur retour d’expérience sur un connecteur qui permet de croiser et traiter les données dans une interface utilisateur orientée besoins éditoriaux et référencement.
[Lionel Cherpin, Sébastien Gantou] Oui, il s’agit bien de la problématique de transfert des données personnelles en dehors de l’UE. Lors de son annonce le 10 février dernier de la mise en demeure d’un site utilisant Google Analytics, la CNIL estimait que le transfert de données de citoyens européens collectés dans le cadre de l’utilisation de Google Analytics était illégal. Ces données sont transférées en dehors de l’Union européenne, aux États-Unis en l’occurrence. Or, depuis l’invalidation du Privacy Shield en juillet 2020 par la plus haute juridiction européenne (la Cour de Justice de l’UE), les États-Unis n’offrent plus un niveau de protection adéquat au regard du RGPD. Dans ce cas, le transfert de données ne peut avoir lieu que si des garanties appropriées et complémentaires sont prévues. Or, selon la CNIL, même si Google propose des mesures supplémentaires (notamment l’anonymisation d’IP), celles-ci ne sont pas considérées comme suffisantes car elles n’excluent pas la possibilité d’accès des services de renseignements américains à ces données.
Depuis, l’Union Européenne et les États-Unis se sont accordés le 25 mars sur un nouveau cadre pour le transfert des données personnelles mais il va falloir attendre probablement au moins d’ici la fin de l’année pour l’adoption de ce nouvel accord.
Effectivement dans l’absolu, cette mise en demeure pourrait concerner l’ensemble des services qui transfèrent des données hors de l’UE, donc Google Ads, Facebook, Linkedin, etc. Pourquoi Google Analytics a été ciblé en premier ? Il a fait l’objet d’une plainte d’une association de défense des droits (NOYB) auprès de la CNIL qui a pris ensuite cette décision sur le fond.
Chaque organisation est responsable de définir sa politique de protection de la vie privée en estimant les risques. Il est donc impossible de fournir une réponse unique et universelle. Ce que je peux dire, c’est que de nombreuses entreprises de toute taille ont décidé d’abandonner ces dernières semaines Google Analytics pour des alternatives. Car, au-delà de la question de la légalité de Google Analytics, ces acteurs sont surtout motivés pour utiliser des solutions exemptées du recueil de consentement qui leur offrent en plus une sécurité juridique. Ces outils sont en effet “privacy by design”, c’est-à-dire respectueux des principes du RGPD par défaut et ne seront pas remis en question par la suite.
À ce stade, Google affiche des modifications techniques ponctuelles et sans reprendre le sujet d’ensemble : il ne précise pas les conditions d’accès aux données personnelles des utilisateurs et leurs traitements aux US. Pour moi, ils sont donc toujours dans la même situation : les transferts de données ne sont pas en règle.
NDLR : Lire le post Linkedin de Sabrina Bouguessa, Ads Data Privacy Lead (Southern Europe) chez Google.
Comme précisé précédemment, c’est à chaque organisation d’évaluer ses risques. Factuellement, on sait que la CNIL a adressé une mise en demeure à trois entreprises mais il est possible que d’autres mises en demeure soient passées sous les radars.
Bien sûr. Airbnb comme Google, Linkedin ou Facebook a son siège en Irlande. Airbnb dépose des traceurs et collecte des données de citoyens français. Il pourrait être visé par la CNIL directement comme elle vient de le faire avec Google Analytics ou via les autorités irlandaises.
À ce sujet, il est vrai que la CNIL irlandaise semble beaucoup plus permissive, à propos, elle a récemment été épinglée. Cette absence d’homogénéisation des pratiques au niveau européen pose problème même si d’autres autorités de protection des données (DSB en Autriche et DSS au Liechtenstein) ont également considéré que l’utilisation de Google Analytics violait le RGPD. Le travail de cohérence au niveau européen est en marche et la convergence se fera dans les mois à venir.
Même si cela se produit, cela devrait rester marginal. En protection des données les sanctions sont dissuasives et prononcées pour faire changer les usages, ce n’est pas comme les amendes de stationnement. Nous ne croyons pas à un business de la plainte. Néanmoins, des associations comme NOYB, Interhop ou la Quadrature du Net agissent sur des sujets emblématiques pour faire bouger les lignes et provoquer l’éveil des consciences.
NDLR : Je me permets une parenthèse entre deux interviews comme l’exemption du consentement est un sujet crucial à comprendre. S’il le terme paraît obscur, son application est bien visible depuis la mise en application du RGPD. Vous avez certainement remarqué la barre ou fenêtre qui s’affiche lors de votre première visite sur un site Internet ? On vous demande généralement d’accepter, personnaliser ou refuser les cookies dont certains sont déposés dans un objectif d’utilisation de statistiques notamment si ces sites utilisent Google Analytics.
Deux cas de figures se présentent alors.
Les gestionnaires de site “puristes” : en cas de refus des cookies d’analyse de trafic, les utilisateurs ne rentrent pas dans les statistiques Web, les sessions sont en revanche toujours comptabilisées. C’est mieux pour l’utilisateur et le respect de ses données personnelles. C’est moins bien pour les rapports et les bilans de fin d’année aux administrateurs.
Les gestionnaires de sites “brigands” (c’est dit en toute amitié pour ceux qui se reconnaîtront). Premièrement, si vous scrollez suffisamment vers le bas, sans cliquer “j’accepte les cookies”, vous consentez aux cookies. C’est certes écrit mais en tout petit comme les conditions de vente…
En fait, vous ne pouvez pas vraiment refuser les cookies dans ce cas, puisqu’ici l’alternative proposée est “Non, je quitte le site”. Au clic, on vous fait bien comprendre que vous n’avez pas vraiment le choix avec un message d’accueil bien senti. On a vu mieux comme entrée en matière non ?
Le procédé est légal, pour le moins, il est assez navrant, incohérent et CATASTROPHIQUE en termes d’accueil touristique. Alors d’accord, ainsi on ne perd quasiment aucune donnée en matière de statistiques pour les bilans de fin d’année, mais à quel prix pour l’image de la destination ?
Maintenant que vous êtes bien au fait du consentement des cookies, nous pouvons poursuivre.
La CNIL considère que certains cookies “nécessaires au bon fonctionnement d’un site” peuvent être exemptés du recueil de consentement. C’est notamment le cas des cookies d’authentification, de mémoire d’un panier d’achat, de personnalisation de la langue d’un site mais aussi certains cookies de mesure d’audience lorsqu’ils respectent certaines conditions.
Pour ces derniers, la mesure d’audience est strictement nécessaire car elle permet de vérifier le bon fonctionnement du site et de mesurer la cohérence de l’information affichée avec les attentes du public.
La CNIL fournit l’ensemble des critères d’exemption. Parmi les critères listés, le plus important est d’avoir “une finalité de traitement strictement limitée à la seule mesure d’audience : mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés”. En d’autres termes, une solution qui collecte les données de navigation d’un utilisateur à d’autres fins que la simple mesure d’audience (exemple : pour de la publicité, envoi d’un email, push notification, personnalisation, etc) doit obtenir un consentement préalable. Or, Google Analytics dans sa version gratuite va exploiter les données des utilisateurs pour nourrir son algorithme publicitaire.
AT Internet et Matomo ainsi que 13 autres solutions listées par la CNIL rentrent bien dans le périmètre d’exemption défini par la CNIL à la condition d’être configurées correctement. Une installation par défaut de ces outils ne permettra pas d’obtenir l’exemption !
Le dernier baromètre Privacy de Commanders Act de mars 2022 indique des taux d’optin moyen de 77% (sur desktop) et de 82% (sur mobile) sur des sites du secteur du voyage et du tourisme.
Les taux d’optin observés sur les sites travel sont conformes aux tendances observés sur le marché au global (74% sur desktop et 83% sur mobile). Et donc 26% des utilisateurs sur desktop et 17% sur mobile refusent les cookies et ne sont pas comptabilisés dans la fréquentation des sites Internet.
Je n’en vois pas. L’exemption du recueil de consentement nécessite une configuration spécifique qui n’est pas très complexe. Les principales solutions exemptées, AT Internet et Matomo rivalisent en termes de fonctionnalités mais ce n’est effectivement pas simple de changer d’outil quand on a été habitué à utiliser Google Analytics pendant des années.
AT Internet et Matomo sont des outils très intéressants. Je dirais que Matomo est plutôt un produit d’entrée de gamme et va être adapté à des besoins basiques de mesure d’audience (analyse des visites, source des visites, analyse des contenus, etc).
AT Internet permet un usage plus avancé en allant beaucoup loin dans l’analyse et l’exploitation de la donnée.
Je ne peux que conseiller aux acteurs du tourisme de changer d’outil de mesure d’audience. Car au-delà des questions de légalité ou d’exemption, il y a selon moi une question d’indépendance et de souveraineté. Google est à la fois pour les acteurs du tourisme un pourvoyeur d’audience mais aussi un concurrent potentiel puisqu’il diffuse également de l’information touristique dès les pages de résultats.
Google collecte déjà beaucoup d’informations naturellement ; autant ne pas lui servir sur un plateau les données de son audience !
[Cédric Chabry – Laëtitia Georgeon] D’abord, la perte de trafic ne concerne pas les sessions, c’est important de le préciser. Ensuite, l’abandon définitif de Google n’est pas encore d’actualité pour l’écrasante majorité de nos clients. Ils attendent de savoir ce que nous réserve l’avenir et notamment les évolutions des versions de Google Analytics. Nous ne sommes pas dans une stratégie d’abandon mais plutôt de double comptage avec les deux solutions.
Ceci étant posé, les mentalités évoluent plus rapidement que l’on pouvait le penser. Hier encore, on gardait le marquage le plus fin avec Google Analytics et en parallèle Matomo pour extrapoler et ne pas perdre de vue le comptage des utilisateurs. Aujourd’hui la tendance s’inverse complètement, au bénéfice d’une traçabilité plus avancée avec Matomo et d’une simple confirmation avec Google Analytics.
L’autre problématique est celle des tableaux de bord de Matomo qui sont aujourd’hui moins complets et ergonomiques par rapport à ceux de Google Analytics. On imagine ainsi pouvoir connecter des environnements comme Google Data Studio à partir des données tierces issues de Matomo pour les convertir en rapports et tableaux de bord intuitifs et personnalisables.
Pas tout à fait, car les données seraient hébergées par Google Cloud en Angleterre; hors États-Unis, donc en conformité avec le RGPD. Dans tous les cas, c’est un élément qu’il faut évidemment sécuriser. Au pire, d’autres outils de tableaux de bord existent chez des concurrents de Google, l’inconvénient ce sont les coûts de développement et de modèles économiques qui se poseront inévitablement puisque ces outils concurrents sont payants.
Nous travaillons en recherche et développement sur un connecteur en partenariat avec le CRT Bourgogne-Franche-Comté et la Communauté d’Agglomération de La Rochelle. L’objectif c’est de croiser les données issues de Matomo et de la Google Search Console, compiler les indicateurs de performance SEO et de conversion, pour les restituer enfin dans des tableaux de bord intelligibles sur Google Data Studio. Contrairement à Google Analytics qui masque les mots clés sources de trafic, l’API Google Search console permet d’accéder à l’intégralité des mots clés et de faire ainsi des rapprochements exhaustifs. L’intérêt c’est aussi de pouvoir manipuler les données et de pouvoir éditer des tableaux de bord thématiques, comme par exemple pour monitorer la performance des contenus autour du tourisme responsable. Cela implique en amont de faire le lien avec les contenus publiés, le site Web, le CMS et le plan de marquage comme illustré sur ce schéma.
Ce premier tableau illustre par exemple la remontée de données Matomo dans un Google Data Studio pour suivre les indicateurs « classiques » d’un site Internet (nombre de sessions, pages vues, taux de rebond, durées des sessions, nombres de pages /sessions, sources de trafic, etc).
Un deuxième tableau déjà plus poussé permet d’analyser la performance des contenus de son site Internet sur la période de son choix, en croisant des données issues de la Google Search Console et de Matomo (types de contenus les plus captifs, via le référencement naturel et/ou le référencement payant, positions, taux de clics, temps passés sur chaque page, taux de rebond, taux de sortie, etc.).
Un troisième tableau permet d’analyser et de suivre l’évolution de la captation de la page de son choix, également en croisant des données issues de :
On obtient ainsi une vue complète et détaillée d’indicateurs qui permettent de déterminer si la page en question fonctionne bien et surtout comment on peut l’optimiser et à quelle étape (début de parcours sur Google et/ou qualité du contenu sur le site Internet).
La décision de se séparer de Google Analytics au bénéfice de Matomo doit se poser en plusieurs termes.
D’un point de vue légal, chacun appréciera le risque de persévérer dans un outil qui ne respecte pas le cadre la RGPD.
Mais la peur du gendarme ne doit pas être la raison principale qui guide votre choix de basculer vers une solution alternative comme Matomo. Par ailleurs, en fonction de vos besoins, vous pouvez aussi vous orienter vers un autre logiciel exempté du consentement.
Votre décision doit être avant tout cohérente et faire sens. S’inscrire dans une logique de tourisme responsable, c’est aussi s’interroger sur Google Analytics qui se sert des données personnelles à des fins ombrageuses, sur Google en général et de son écrasante souveraineté sur le Web à laquelle vous contribuez.
Posséder un téléphone sous Androïd est bien pire pour le viol des données utilisateurs ? Sauf que dans ce cas précis, c’est l’utilisateur qui fait le choix de “vendre” ses données personnelle, certes bien souvent à son insu.
En tant que professionnels du Web, il est de notre devoir de proposer des solutions plus responsables lorsque cela est possible pour tendre vers un monde plus vertueux. Cela ne se fera pas sans questionner les modèles économiques actuels, nous nous sommes habitués au tout gratuit. La liberté aura un prix.
Enfin, basculer vers des solutions libres comme Matomo, ouvre un nouveau modèle et des perspectives infinies de développement, avec des solutions tierces connectées pour proposer aujourd’hui des tableaux de bords plus intuitifs et demain d’autres innovations marketing, commerciales à la faveur d’un écosystème plus vertueux, bouillonnant et ingénieux. La liberté d’entreprise.
Alors convaincus à franchir le pas vers une solution alternative comme Matomo ?
Etourisme.info : depuis 15 ans, votre blog suit la transformation du tourisme. L’association regroupe une Rédaction de 20 auteurs passionnés ainsi que des rédacteurs invités, tous bénévoles.
© 2021 – etourisme.info
Tous droits réservés
Réalisation ARTGO Média
Crédits & Mentions légales