Google Analytics est-il conforme au GDPR ?

Image of Carlo Cilento

Publié le 15 févr. 2023 et modifié le 15 août 2023 par Carlo Cilento

Cet article est traduit automatiquement. Passer à la version anglaise pour l'original.

Vous avez probablement entendu parler des problèmes juridiques de Google Analytics avec le GDPR. Les organismes de protection de la vie privée adoptent une position très dure à l'égard de Google Analytics, les spécialistes du marketing de toute l'Europe paniquent, et Google affirme que tout ira bien. L'internet regorge d'informations sur la manière de rendre votre site web conforme au GDPR. Voici donc un aperçu de ce qui se passe avec Google Analytics.

  1. Quel est le problème avec Google Analytics ?
  2. Que disent exactement ces décisions au sujet de Google Analytics ?
  3. Qu'en est-il de l'anonymisation des adresses IP ?
  4. Qu'en est-il de Google Analytics 4 ?
  5. Qu'en est-il de Google Analytics pour Firebase ?
  6. Google va-t-il résoudre le problème ?
  7. Qu'en est-il du nouvel accord sur le transfert de données ?
  8. Que puis-je faire pour rendre Google Analytics conforme ?
  9. Existe-t-il d'autres risques pour la vie privée liés à Google Analytics ?
  10. Les alternatives à Google Analytics
  11. Vous décidez de rester sur Google Analytics ?
  12. Réflexions finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Quel est le problème avec Google Analytics ?

Google Analytics a besoin de données personnelles pour fonctionner. Voici comment : Lorsque vous acceptez un cookiebanner, vos données personnelles sont collectées et envoyées à Google Ireland. Ensuite, Google Ireland envoie les données à Google aux États-Unis pour traitement. Enfin, la société mère exerce sa magie algorithmique et fournit au site web des informations sur le comportement des utilisateurs.

Nous sommes donc en présence d'un transfert de données extracommunautaire impliquant trois acteurs : le site web, Google Ireland et Google.

Le GDPR a établi des règles strictes en matière de transfert de données afin de garantir que les données personnelles ne peuvent quitter l'UE qu'en toute sécurité. Malheureusement, cela n'est pas possible dans le cas de Google Analytics. Cette situation est indépendante de Google : l'entreprise est soumise à la législation américaine qui permet une surveillance étendue des données étrangères, y compris les données des utilisateurs européens.

biden.png

La surveillance est au cœur des questions juridiques liées aux transferts de données. La législation américaine en matière de surveillance est la raison pour laquelle la Cour de justice de l'UE a invalidé deux cadres de transfert de données entre l'UE et les États-Unis dans les célèbres arrêts Schrems I et II. Plus récemment, l'ONG noyb a entamé une bataille juridique contre Google Analytics et Facebook Connect au sujet des transferts de données en déposant 101 plaintes identiques auprès de nombreuses autorités européennes.

Cette stratégie s'est avérée payante jusqu'à présent. Les autorités ont coordonné leur réponse au niveau européen. Ainsi, les autorités de contrôle d'Autriche, de France, d'Italie et de Finlande se sont prononcées contre Google Analytics. En outre, l'autorité norvégienne a également estimé que l'utilisation de Google Analytics était illégale dans une conclusion préliminaire (l'affaire est encore en cours), et le Danemark a adopté la même position dans un communiqué de presse. Grâce à la coordination au niveau européen et à l'influence des autorités françaises et italiennes, il est probable que d'autres décisions suivront.

Enfin, les transferts de données de Facebook ont été suspendus (et l'Irlande a également été frappée par une amende record de 1,2 milliard d'euros ). Cette décision a été prise pour les mêmes raisons juridiques que celles qui affectent Google Analytics : l'impossibilité de se conformer à Schrems II. Pour en savoir plus sur cette décision importante, consultez notre blog.

US_EU_Cables.png

Que disent exactement ces décisions au sujet de Google Analytics ?

De nombreux sites web et organes de presse rapportent que Google Analytics a été interdit ou déclaré illégal dans certains pays. Est-ce vrai ?

Dans chaque décision, une autorité a ordonné à un site web spécifique de cesser d'utiliser Google Analytics parce qu'elle a constaté que ses transferts de données n'offraient pas de garanties suffisantes en matière de protection des données à caractère personnel. En théorie, un autre site web pourrait mettre en place des mesures de protection des données personnelles plus strictes et utiliser Google Analytics en toute légalité et en toute sécurité. Mais la théorie est le mot clé ici. En pratique, la mise en œuvre de garanties est difficile pour de nombreux services et impossible pour Google Analytics.

Google Analytics utilise des cookies pour suivre les utilisateurs. Ces cookies contiennent des identifiants uniques permettant d'identifier chaque utilisateur et sont considérés comme des données à caractère personnel. La seule façon d'utiliser Google Analytics dans le respect du GDPR est donc d'anonymiser ces données - mais ce sont précisément les données dont Google Analytics a le plus besoin ! Vous pourriez utiliser Google Analytics en toute légalité en l'exécutant côté serveur et en anonymisant toutes les données personnelles, mais cela nuirait aux performances de Google Analytics. C'est une solution coûteuse qui donne des résultats médiocres.

Ainsi, à toutes fins utiles, les décisions prises à l'encontre de Google Analytics équivalent à une interdiction à l'échelle nationale. De telles décisions ont déjà été prises dans plusieurs pays, dont la France et l'Italie, deux marchés nationaux clés de l'Union européenne.

google-lawsuit.png

Qu'en est-il de l'anonymisation des adresses IP ?

Universal Analytics comprend une option d'anonymisation des adresses IP, mais ce n'est pas l'option par défaut. Google Analytics 4 est plus performant à cet égard et anonymise automatiquement les adresses IP.

Malheureusement, l'option d'anonymisation IP de Google Analytics ne rend pas Google Analytics conforme au GDPR. Les autorités européennes ont constaté que la technique de masquage IP de Google est plutôt faible et ne répond pas aux normes du GDPR en matière d'anonymisation. En outre, les cookies de Google Analytics restent des données personnelles au sens du GDPR, indépendamment de l'anonymisation de l'adresse IP. L'anonymisation des adresses IP ne résout donc pas le problème juridique fondamental du transfert de données à caractère personnel.

Qu'en est-il de Google Analytics 4 ?

Est-il plus respectueux de la vie privée qu'Universal Analytics ? Oui. Est-il conforme au GDPR ? Probablement pas. Nous n'avons pas encore pris de décision concernant Google Analytics 4, mais la nouvelle version ne résout pas les problèmes juridiques cruciaux liés aux transferts de données.

Google Analytics 4 présente quelques améliorations par rapport à Universal Analytics. Google Analytics 4 utilise des cookies de première partie, qui sont moins invasifs que les cookies de tierce partie. En outre, l'anonymisation de l'IP est toujours activée et l'IP n'est pas collectée par Google. Mais en y regardant de plus près, Google Analytics 4 souffre des mêmes problèmes de conformité parce qu'il s'appuie toujours sur des cookies, et que les cookies sont des données personnelles. Les changements sont les bienvenus, mais ils ne résolvent pas le problème juridique.

Qu'en est-il de Google Analytics pour Firebase ?

Il y a fort à parier que Firebase souffre des mêmes problèmes juridiques que Google Analytics. Tout comme Google Analytics, Google Analytics for Firebase utilise des cookies avec des identifiants uniques, qui sont des données à caractère personnel au sens du GDPR. Il traite également d'autres données à caractère personnel, notamment des identifiants invasifs pour les appareils mobiles. Toutes ces données sont traitées sur l'infrastructure de Google, qui est propriétaire de Firebase.

Google va-t-il résoudre le problème ?

Non, car il n'y a pas de solution facile. Google ne peut pas résoudre ce problème en modifiant ses conditions de traitement. Si les agences de renseignement demandent les données, Google doit les leur fournir en vertu de la législation américaine.

Pour l'instant, la seule solution consiste à transférer le traitement des données européennes directement dans l'UE, comme Microsoft commence à le faire avec son programme de délimitation des données de l'UE. Bien entendu, il s'agit d'une solution coûteuse qui nécessite une infrastructure importante en Europe. Google n'a jamais annoncé de programme similaire et n'a probablement pas l'intention d'investir dans la localisation des données.

Qu'en est-il du nouvel accord sur le transfert de données ?

Après de longues négociations, les États-Unis et l'Union européenne se sont mis d'accord sur un nouveau cadre de transfert de données (le cadre transatlantique de protection des données). La Commission européenne est en train de le mettre en œuvre dans le droit communautaire par le biais d'une décision d'adéquation: un acte qui examine le cadre de protection de la vie privée d'un autre pays et qui, en substance, "donne le feu vert" au pays en tant que destination sûre pour les transferts de données.

La décision d'adéquation sera probablement votée, mais l'histoire ne s'arrêtera pas là. La Commission ne peut prendre une décision d'adéquation que si le cadre de protection de la vie privée d'un pays peut garantir la sécurité des données. Elle ne peut pas prendre une décision d'adéquation pour les États-Unis simplement parce qu'elle les aime bien ou parce que l'Europe a grandement besoin de leurs fournisseurs de services. La nouvelle décision d'adéquation sera certainement contestée devant la Cour de justice de l'UE, car la législation américaine ne garantit pas un niveau de protection suffisant pour les données européennes.

La Cour a déjà invalidé deux cadres de transfert de données pour cette raison et pourrait le faire à nouveau dans la prochaine affaire Schrems III. Le nouveau cadre est complexe et il est difficile de dire comment les choses se dérouleront, mais pour l'instant, l'avenir des transferts de données reste incertain.

Que puis-je faire pour rendre Google Analytics conforme ?

Il n'y a rien à faire pour protéger les données personnelles de la surveillance américaine. Il faut soit changer d'outil d'analyse web, soit accepter un certain degré de risque en matière de conformité.

Existe-t-il d'autres risques pour la vie privée liés à Google Analytics ?

Il y en a plus que nous ne pouvons en compter. Google est l'une des entreprises les moins respectueuses de la vie privée. Elle fait fortune en suivant les internautes, en collectant d'énormes quantités de données personnelles à leur sujet et en établissant des profils comportementaux pour des publicités ciblées.

Google Analytics est un élément essentiel de l'activité de Google, mais ce n'est pas le seul moyen d'extraire des données. Les services populaires tels que Search, Maps et Youtube fournissent à Google d'énormes quantités de données. Chaque courrier envoyé ou reçu par l'intermédiaire de Gmail est traité à des fins de profilage, et les utilisateurs qui se connectent à leur compte Gmail par l'intermédiaire de leur navigateur sont suivis sur tous les sites web. Même Android suit les utilisateurs. Cette quantité inimaginable de données personnelles est mise en commun et utilisée pour le profilage et la prédiction afin de déduire encore plus de données personnelles sans avoir besoin de les collecter.

Bien sûr, Google jure qu'il prend votre vie privée au sérieux et promet qu'il s'efforce de vous offrir de plus en plus de protection à l'avenir. Mais les choses ne changeront pas car l'invasion de votre vie privée n'est pas un effet secondaire de leur modèle d'entreprise - c' est leur modèle d'entreprise.

Les alternatives à Google Analytics

Vous pouvez vous en tenir à Google Analytics en espérant ne pas avoir d'ennuis, ou vous pouvez opter pour une solution alternative respectueuse de la vie privée et basée dans l'UE, telle que Simple Analytics (oui, je sais, c'est nous).

Nous ne sommes certainement pas les seuls dans ce domaine. Il existe denombreuses alternatives à Google Analytics, telles que Matomo, Pirsch et Fathom. Elles sont toutes plus respectueuses de la vie privée que Google.

Il en va de même pour nous (Simple Analytics). Nous avons conçu Simple Analytics de manière à fournir toutes les informations dont vous avez besoin sans collecter la moindre donnée personnelle. Notre outil est donc 100 % conforme à toutes les réglementations en matière de protection de la vie privée, y compris le GDPR. Nous sommes basés aux Pays-Bas et ne transférons pas de données en dehors de l'UE. Vous pouvez également importer vos données historiques depuis Google Analytics ! Si cela vous intéresse, n'hésitez pas à nous contacter !

Vous décidez de rester sur Google Analytics ?

Si vous décidez de rester fidèle à Google Analytics, les choses ne s'annoncent pas très bien. Universal Analytics sera progressivement supprimé d'ici 2024, donc si vous l'utilisez, vous devrez passer à Google Analytics 4 dès que possible. Vous perdrez vos données historiques Universal Analytics, car Google Analytics 4 n'offre pas de fonction d'importation pour la plupart des données collectées par Universal Analytics (Simple Analytics en offre une).

Pour minimiser les risques, votre site web devrait inclure une politique claire et complète en matière de cookies. C'est plus facile à dire qu'à faire. Une bonne politique en matière de cookies doit fournir beaucoup d'informations tout en étant courte et lisible. Nous avons quelques suggestions sur notre blog, mais vous devez bien sûr trouver une politique qui vous convienne et qui tienne compte des données que vous collectez et des politiques que vous avez mises en place.

Enfin, vous devez être prudent avec vos bannières de cookies. Il y a des signes d'une possible répression à l'échelle de l'UE des bannières de cookies non conformes(nous avons écrit à ce sujet sur notre blog). Veillez à ce que vos bannières de cookies soient transparentes et présentent aux utilisateurs un bouton "rejeter tout" visible et facilement accessible (ou une option clairement formulée à cet effet). Il est probable qu'un plus grand nombre d'utilisateurs rejetteront les cookies et que cela aura un impact sur les performances de Google Analytics sur votre site web. Les gens n'aiment pas être suivis et disent souvent "non merci" lorsqu'on leur propose un choix transparent.

Réflexions finales

Google Analytics représente un risque de conformité pour votre entreprise (éthique mise à part). En théorie, la question de savoir si Google Analytics est considéré comme illégal dans l'UE est toujours débattue, mais continuer à utiliser Google Analytics (même GA4) constitue un risque. Même si vous décidez de prendre ce risque, vous devez vous assurer que vos bannières de cookies sont conformes à 100 %. Il vous faut une bonne politique en matière de cookies, ce qui est plus facile à dire qu'à faire. En outre, vous devez vous familiariser avec Google Analytics 4 et l'adopter dès que possible, car Google met fin à Universal Analytics.

Vous pouvez également décider de vous passer complètement de Google Analytics. De nombreux outils fournissent les informations dont vous avez besoin pour suivre les performances de votre site web sans prendre de risques en matière de conformité. La suppression de Google Analytics est facile, tout comme le passage à une solution respectueuse de la vie privée. Vous ne savez pas par où commencer ? Laissez les gars de New Metrics vous aider en vous donnant des conseils indépendants ou essayez Simple Analytics pour voir si vous l'appréciez.

À vous de choisir !

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours