Le contexte réglementaire Européen simplifié
Les deux sujets principaux côté réglementation Européenne sont :
- Le RGPD qui exige la demande de consentement pour utiliser des cookies ou traceurs. Une partie de l'audience ne sera donc pas tracée du tout si elle n'a pas accepté le suivi.
- La directive ePrivacy qui concerne le transfert de données personnelles aux États-Unis. Ici il peut être nécessaire de supprimer Google Analytics pour éviter une violation.
Updates récentes
10 juillet 2023
La Commission européenne 🇪🇺 a adopté une nouvelle décision d'adéquation, reconnaissant que les 🇺🇸 États-Unis garantissent désormais un niveau de protection équivalent à celui de l'Union européenne pour les transferts de données personnelles. GA4 n’est donc a priori plus dans le viseur des autorités et légal d’utilisation.
La CNIL a implicitement donné son avis sur la question en redirigeant toutes les pages de son site qui mentionnaient, de près ou de loin, l'illégalité de Google Analytics 4 vers cette page (qui confirme sa légalité) :
Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis.
https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
❗️Attention cependant de rester vigilant quant à la confidentialité des données et de prendre des mesures appropriées comme la proxification, pour garantir la conformité aux réglementations en matière de protection des données.
Un arbitrage des pays Européens contre Google Analytics
L'Union européenne exige que les entreprises traitent les données personnelles des utilisateurs de manière légale, équitable et transparente.
En Europe, l'utilisation de Google Analytics est présumée autorisée ✅ à condition que son utilisation soit conforme au Règlement Général sur la Protection des Données.
Certains pays Europpéens ont cependant arbitré en défaveur de l’utilisation de Google Analytics dans sa configuration standard, en raison de problèmes de conformité avec la RGPD selon leur interprétation. C’est le cas de l’Autriche 🇦🇹, l’Italie 🇮🇹, la France 🇫🇷 et les Pays-Bas 🇳🇱.
Dans tous les cas, les propriétaires de sites web doivent obtenir le consentement des utilisateurs 🍪 et prendre des mesures pour protéger leur vie privée (anonymisation des données personnelles). Ils doivent fournir aux utilisateurs des informations détaillées sur la collecte et l'utilisation des données via Google Analytics.
Remarques
1. Aucune entreprise française 🇫🇷 n’a été encore sanctionnée pour l’utilisation de Google Analytics.
2. Vous pouvez “proxifier” Google Analytics en server-side pour répondre aux exigences de la CNIL.
Les principales raisons qui posent problème à la CNIL
Le problème des adresses IP avant GA4
Google Analytics ne stocke pas les adresses IP individuelles, mais les données sont transférées aux États-Unis pour traitement, permettant ainsi de déterminer la géolocalisation des utilisateurs. La fonctionnalité de pseudonymisation des IPs masque seulement les deux derniers chiffres, ce qui est insuffisant pour deux raisons :
- La pseudonymisation est effectuée après transfert, ce qui ne résout pas le problème.
- La pseudonymisation est réversible, donc il est préférable d'opter pour l'anonymisation en fournissant une nouvelle adresse IP.
La CNIL refuse que Google transfère les adresses IP aux USA, malgré l'engagement de Google à les supprimer ou les anonymiser immédiatement après réception.
Google a mis à jour GA4 pour arrêter les transferts d'adresses IP en dehors de l'UE.
Anonymisation ou pseudonymisation du client_id n’est pas suffisante
La CNIL craint que Google puisse ré-identifier les utilisateurs en croisant plusieurs sources d'informations, ce qui est raisonnable quand on connaît les capacités de Google.
Cependant il est possible de mettre en place un proxy pour accomplir tout le travail de pseudonymisation et d’anonymisation en amont, donc AVANT tout export aux USA.
Voir : Proxyfication de Google Analytics : une bonne idée ?
Alors quelles sont vos options ?
En résumé Google Analytics, y compris donc GA4 est donc interdit dans sa configuration actuelle, en raison des transferts de données vers les États-Unis.
1. Ne rien faire
Ne rien faire, simplement migrer sur GA4 et respecter le consentement utilisateur avec une CMP bien paramétrée. En réalité le risque est faible et vous disposez toujours d’un délai d’un mois pour vous mettre en conformité.
2. Implémenter Google analytics avec les recommandations de la CNIL
Migrez vers GA4 uniquement et en server-side en minimisant les données à caractère personnelles. Si la CNIL envoie des mises en demeure automatiques pour l'utilisation du script Google Analytics, vous pourriez passer à travers.
Si la CNIL vous contrôle, vous pourrez vous défendre en arguant que vous êtes en train de déployer une solution conforme à leurs recommandations et en montrant “patte blanche”. Vous aurez toujours le délai d’un mois pour vous conformer.
3. Proxifier Google analytics
La seule façon de se conformer et continuer à utiliser GA serait d'utiliser un proxy pour masquer les données avant de les envoyer à Google Analytics.
Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? | CNIL
La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l’Union européenne et les États-Unis.
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite
→ Voir aussi notre article Proxyfication de Google Analytics : une bonne idée ?
4. Remplacer Google analytics
Enfin il existe des alternatives possibles à mettre en place pour se prémunir des risques réglementaires. Voir notre article sur Les meilleures alternatives à Google Analytics.
Les alternatives à Google Analytics pour l'analyse d'audience sont sérieuses et ont des fonctionnalités similaires. Cependant, si vous choisissez de passer à GA4, vous perdrez la connexion native avec d'autres outils Google tels que Google Ads et Merchant Center, ainsi que la possibilité d'exporter des données brutes vers Google BigQuery.
Notre recommandation
Nous vous recommandons les deux approches suivantes en fonction de votre exposition aux risques :
- Continuer à utiliser GA4 mais dans une configuration qui respecte au maximum la vie privée des utilisateurs. Google ayant déjà fait de nombreux progrès en termes de privacy avec GA4 et de localisation de la donnée en Europe.
- Mettre en place une solution alternative en prévention d’un contrôle et pour construire un historique de données. Voir Les meilleures alternatives à Google Analytics.
Starfox Analytics accompagne déjà plus de 50 entreprises sur la configuration de GA4 en server-side et la mise en place d’alternatives à Google Analytics.
Contact & rendez-vous →
Questions fréquentes
Quel est le risque à conserver Google analytics en l’état ?
Les organismes disposent-ils d’un délai pour se mettre en conformité ?
Existe-t-il des garanties supplémentaires suffisantes pour continuer à utiliser GA ?
Le chiffrement pourrait-il être une garantie supplémentaire suffisante ?
Est-il possible de paramétrer Google Analytics afin de ne transférer vers les États-Unis que des données anonymes ?
Pourquoi Google Analytics plus que les autres ?
Oui mais si l’utilisateur est d’accord avec le transfert de ses données aux États-Unis?
Existe-t-il des outils alternatifs ?
En savoir plus
Auteur
Edouard de Joussineau
Dirigeant de Starfox Analytics. 9 ans dans le CRO & la Web Analyse. Entrepreneur et Product Manager mais également amateur de bon vin, de F1 et d’échecs.
Suivez Starfox Analytics sur Linkedin
Un besoin, une question ? Notre équipe vous répondra au plus vite.
→ Suivez Starfox sur Linkedin
Contactez-nous !
Un besoin, une question ? Écrivez-nous à [email protected]. Notre équipe vous répondra au plus vite.
Prendre rendez-vous →
Autres ressources
Wikis
Les meilleures alternatives à Google Analytics
Proxyfication de Google Analytics : une bonne idée ?
Différences entre GA3 vs. GA4
GA4 Data Redaction
Migrations GA4
L’auto-migration GA4: bonne ou mauvaise idée ?
Les limitations de collecte dans GA4
Suivre les impressions publicitaires dans GA4
Google Analytics est-il légal en Europe ?