Début janvier 2022, un mini-séisme a secoué le microcosme analytics européen. En effet, l’autorité autrichienne chargée de la protection des données a jugé l’utilisation de Google Analytics illégale et contraire au RGPD.
Pourquoi ?
Et dans quelle mesure ?
Cette décision fait suite à plusieurs dépôts de plaintes par l’ONG noyb. Elle s’appuie notamment sur le transfert de données entre l’UE et les Etats-Unis. En effet, le « Privacy Shield » américain est jugé non conforme à la législation européenne sur la protection des données.
Et comme Google transfère les données Analytics vers les Etats-Unis, Analytics est déclaré illégal.
CQFD.
D’abord, il faut se mettre d’accord sur le délit.
Dans un long plaidoyer, Google a publié un droit de réponse où certains faits sont rappelés. Nous les reproduisons ici tels quels, simplement traduits en français :
Sur l’ensemble de ces éléments, de nombreux commentateurs ont dit que Google rejetait la responsabilité sur ses clients (organisations) et utilisateurs.
De fait, nous savons depuis longtemps qu’il est de notre responsabilité, sites utilisateurs de Google Analytics, d’effectuer certains réglages pour que les données collectées soient le plus respectueuses de la vie privée.
Cela commence par l’anonymisation des adresses IP. Qui est d’ailleurs devenue un paramètre par défaut dans Analytics 4, alors qu’elle est en option sur Universal Analytics.
Ce sont aussi tous les réglages concernant la durée de vie des cookies, ou les liens entre Google Analytics et Google Ads.
Chez Eficiens, nous sommes sur le pont depuis début 2018 et l’arrivée du RGPD.
Nous en parlons d’ailleurs dans notre article sur la Consent Management Plaform. Nous expliquons notamment comment nous avons rendu, dès 2018, notre Analytics RGPD-compatible. Avec les deux points d’attention suivants : les adresses IP et le nettoyage de toutes données personnelles des remontées Analytics.
Le plus surprenant, en effet, dans cette décision, c’est que l’activation de Google Analytics passe de toute façon par la première étape : le bandeau cookies.
C’est un sujet qui n’est pas du tout abordé dans les articles concernant l’arrêté autrichien. Mais en terme de contrôle utilisateur, on pourrait répliquer que ce choix est donné dès le début.
En effet, chaque internaute peut refuser le cookie Analytics.
Maintenant, si tous les internautes refusent les cookies Analytics, nous allons devoir trouver une alternative pour suivre la performance des sites internet. Mais c’est un autre sujet.
Quelques jours après l’annonce de l’autorité autrichienne, deux solutions se dessinent
Sur sa page « Cookies : solutions pour les outils de mesure d’audience« , la CNIL référence pas moins de 14 solutions exemptées de consentement. Vous n’aurez donc aucune difficulté à trouver une alternative à Google.
Même si cela implique de revoir le plan de tag. Et d’apprendre une nouvelle interface, et souvent une nouvelle terminologie.
L’idée ici, est bien de constituer un « double tracking », au cas où Google Analytics soit définitivement banni.
On voit mal la solution Analytics disparaître totalement du paysage européen. On peut donc espérer une résolution technique. Celle-ci pourrait avoir un impact sur la collecte de données de nos sites internet, en limitant certaines informations trop détaillées.
C’est d’ailleurs déjà le cas pour les solutions exemptées de consentement présentées plus haut.
Nous mettrons à jour cet article avec les derniers développements.
Le Monde Informatique , article du 13 janvier 2022 : https://www.lemondeinformatique.fr/actualites/lire-l-usage-de-google-analytics-viole-le-rgpd-selon-la-cnil-autrichienne-85426.html
L’usine digitale, article du 14 janvier 2022 : https://www.usine-digitale.fr/article/est-ce-la-fin-de-google-analytics-en-europe.N1773702
Google, article du 13 janvier 2022 : https://blog.google/around-the-globe/google-europe/google-analytics-facts/