Disclaimer : Chez Dernier Cri, nous sommes des experts du digital et non du juridique. Cet article correspond donc à notre avis sur cette actualité mais en aucun cas à une analyse juridique.

L’annonce n’est probablement pas passée inaperçue mais, comme rapporté par Techcrunch, les autorités autrichiennes ont déclaré l’utilisation de Google Analytics illégale au regard des réglementations européennes. Nous nous intéressons ici à réfléchir aux impacts d’une telle décision et à l’existence éventuelle d’alternatives à Google Analytics.

‍

Ce qu’il s’est passé :

Suite au dépôt de 101 plaintes devant les autorités de protection des données de 30 États européens, l’association Nyob a eu gain de cause en Autriche. En effet, la DPA, équivalent de la CNIL autrichienne, a rendu sa décision le 13 janvier dernier, statuant qu’une entreprise allemande avait eu recours à une utilisation de Google Analytics qui ne respecte pas le RGPD. Cette décision repose sur deux fondements. Premièrement, elle condamne une mauvaise implémentation de l’outil : non-anonymisation des IPs (déterminées comme données personnelles). Deuxièmement, en raison de la nationalité américaine de Google Analytics, ce qui présente un risque pour la protection des données. En effet, depuis l’arrêt Schrem II de la CJUE invalidant le privacy shield, un transfert de données personnelles hors d’Europe est considéré comme incompatible avec le Chapitre V du RGPD.

‍

Bref, pas mal de nouvelles du côté du juridique, mais concrètement :

Concrètement, ce n’est peut être que le début d’un effet domino. D’une part, car ce cas de jurisprudence sera probablement réutilisé dans d’autres États européens. Cela semble d’ailleurs déjà être le cas du côté de l’Autoreit Persoonsgegevens néerlandaise qui précise qu’une enquête visant Google Analytics est en cours et que des décisions devraient être prises en ce début d’année. De plus, nous parlons aujourd’hui du cas de Google Analytics, mais cette affaire le dépasse sans doute pour venir concerner tous les services de cloud américains manipulant des données personnelles.

‍

Est-ce donc la fin de Google Analytics en Europe ?

Probablement pas, malgré ces manquements au respect du RGPD, on voit difficilement Google Analytics disparaître du paysage européen du jour au lendemain. Le service est encore très présent dans beaucoup d’entreprises et organisations européennes. L’outil reste l’un des plus complets au regard de son coût, 0€ par mois. On notera aussi sa complémentarité avec les autres outils de la suite GMP (Google Marketing Platform), plébiscités par beaucoup d’acteurs du Marketing digital. Un scénario dans lequel Google Analytics effectuerait des changements afin de s’adapter et se plier aux règles du RGPD est sans doute plus probable.

‍

GA4 n’était-il pas censé répondre au RGPD ?

GA4 est en effet un bon début en ce sens, comparativement à GA3 ou Universal Analytics. La nouvelle mouture offre plusieurs moyens de respecter certains principes de la RGPD grâce à des options telles que la possibilité de configurer la durée de rétention des cookies à 13 mois, la possibilité d’anonymiser les IPs, ou encore, de désactiver le partage des données à d’autres services de la firme Américaine. Cependant, comme mentionné par Armand Heslot, ce dernier point semble en contradiction avec les CGU de Google Analytics 4, qui stipulent que les données peuvent être réutilisées. En ce qui concerne le transfert des données collectées outre Atlantique, il ne devrait a priori pas y avoir de problème dans le cas où cela ne concerne pas des données personnelles. Cependant, comme mentionné par l’expert de la CNIL, malgré l’anonymisation des IPs, Google Analytics aurait toujours la possibilité d’identifier de manière unique les internautes.

Pour résumer, à la question de savoir si Google Analytics 4 peut être exempté de consentement, la réponse est clairement non. Est-ce que l’utilisation de l’outil sera considéré comme illégale en France : ¯\_(ツ)_/¯

‍

Dans le doute, est-ce qu’il existe des alternatives plus sûres?

Oui ! Et si vous voulez éviter de perdre du temps à lire à l’excès des pages de CGU, vous pouvez vous fier à la liste d’exemption de la CNIL. Il s’agit de la liste des outils de mesure d’audience qui ont été considérés comme exempts de consentement sous certaines conditions. On peut donc considérer que leur utilisation est tout à fait légale.

De notre côté, on a choisi de tester Matomo, qu’on a trouvé très adaptable en nous laissant le choix d’un hébergement Cloud ou On-Premise. Côté cloud, il s’agit d’un cloud dédié, auquel seul vous avez accès, ce qui rend l’option un peu onéreuse, 19€ pour 25,000 hits. Pour l’option On-premise, c’est vous qui gérez vous-même le stockage de vos données. Ceci implique cependant d’avoir les ressources pour gérer les serveurs derrière. Autre point qui a retenu notre attention, la solution propose un mode avec et sans consentement. Dans la même lancée que le Google Consent mode (sur lequel la CNIL n’a encore pas statué), Matomo suivra l’utilisateur sans cookie dans un premier temps. Si ce dernier accepte les cookies statistiques, un tracking plus précis sera activé, ce qui permettra des analyses plus complètes.

‍

En termes de configuration rien de plus simple avec la solution cloud :

1. Installez le tracking code via GTM ou tout autre outil de tag management
2. Ajoutez-y ce bout de code : _paq.push([‘requireCookieConsent’]) permettant de désactiver les cookies
3. Déclenchez celui-ci : _paq.push([‘setCookieConsentGiven’]) , une fois l’acceptation reçue

Cette solution vous offre donc la possibilité d’être en conformité avec le RGPD tout en gardant un tracking précis.

‍

Pour conclure voici quelques petits conseils tracking que nous développerons dans de prochains articles :

1. Si vous êtes encore sous Universal Analytics, il est vraiment temps de passer à GA4. Si Google Analytics doit perdurer en Europe ce sera forcément au travers de cette dernière version. Pour éviter une transition trop abrupte, sachez que le double tracking GA3 & GA4 ne pose pas de problème.
2. Si vous souhaitez tester une alternative à Google Analytics, le principe est le même. Le double tracking ne pose pas de problème majeur, hormis peut être un temps de chargement légèrement plus long. N’hésitez pas à faire des tests car les solutions ont quasiment toutes un free trial. Vous n’avez donc pas d’excuses.
3. Commencez à vous intéresser au server side tagging qui, d’une part répondrait à de potentiels soucis de temps de chargement et qui, d’autre part, s’avère être une bonne alternative afin de mieux gérer les données partagées à vos outils 3rd party.
4. Dans le doute, rangez-vous toujours du côté de la protection des données de vos utilisateurs. Il ne faut pas voir les nouvelles réglementations comme un frein mais comme une opportunité de revoir vos manières de faire. Vos utilisateurs vous remercieront ;)