Google Analytics : quelles alternatives et quelles actions pour nos clients ?
Suite à une saisie de plaintes par l’association NOYB au sein de l’Union Européenne, la CNIL a provoqué une onde de choc parmi les acteurs du marché avec la mise en demeure contre Google Analytics, car elle estime que le transfert de données personnelles vers les États-Unis via GA est illégal.
Or cette solution représente plus de 80%* de parts de marché en France. La matinée “Permis de Conduire ma Data” organisée par Petit Web en avril dernier, a ainsi été l’occasion de se questionner sur les impacts de cette décision et de répondre aux questions suivantes :
-
- Quelles sont aujourd’hui les alternatives à l’outil Google Analytics ?
- Quels sont les critères de paramétrage qui permettent de tendre vers une conformité tout en conservant cet outil ?
- Comment les acteurs du marché peuvent-ils réagir face à cette nouvelle donne ?
Timeline
-
- 13 Janvier 2022 : La DPA (L’autorité de protection des données autrichienne équivalente à la CNIL en France) a considéré que GA ne respectait pas le RGPD et a mis en demeure plusieurs sites autrichiens de se mettre en conformité
- 28 Janvier 2022 : Google et Facebook ont été sanctionnés pour non respect du RGPD sur la manière de collecter les données sur leurs sites
- 10 Février 2022 : La CNIL a mis en demeure plusieurs gestionnaires de sites internet français d’adapter le paramétrage de GA ou de débrancher la solution
- 25 mars 2022 : Ursula Von der Leyen et Joe Biden ont annoncé un nouvel accord pour éviter de nouvelles mises en demeure mais à date il n’est pas encore entré en application.
Décryptage des enjeux autour du transfert de données
Le problème que soulève la CNIL suite à la plainte de NOYB repose sur le fait qu’un identifiant (client id, user id, transaction id, basket id) recoupé avec une base CRM donnerait les informations de la personne physique. Aujourd’hui, les règles européennes ne sont en effet pas acceptées dans leur totalité par les Etats-Unis (notamment l’E-privacy) ce qui peut conduire à une violation des données personnelles et du RGPD.
Malgré les garanties mises en place par Google Analytics, la CNIL a considéré que les transferts répétés de données vers les Etats-Unis mais aussi le risque de mise à disposition des données aux services de renseignements américains (en raison du Cloud Act) pouvaient nuire aux intérêts des citoyens Européens.
Un accord entre EU et US pourrait arriver d’ici la fin de l’année mais rien n’empêchera NOYB de le contester en justice comme cela s’est produit systématiquement pour les accords précédents de même ordre
Pour résumer les impacts de cette décision : avant le 10 février, l’enjeu principal portait sur le recueil du consentement avec une bannière, des règles de collecte et de stockage. Aujourd’hui même si cet enjeu est toujours d’actualité, un nouvel enjeu entre en compte avec la question du transfert de ces données.
Les limites de cette décision :
Cette position de la CNIL en défaveur de Google Analytics ne remonte qu’à février 2022, le recul est donc limité et un certain nombre d’incertitudes subsistent quant aux prochaines décisions de la CNIL.
De plus, le nombre d’entreprises mises en demeure reste encore minime, nous privant de la capacité de s’appuyer sur une jurisprudence pour arbitrer avec certitude sur une approche plutôt qu’une autre vis-à-vis de Google Analytics..
Enfin les évolutions de l’outil mais également les éventuels changements réglementaires futurs pourraient amener à réviser les décisions des entreprises équipées de Google Analytics dans les prochains mois.
Panorama des réactions :
Parmi nos clients, nous avons pu établir un panorama des décisions prises auprès de 25 clients que nous accompagnons dont 20 grands comptes, qui utilisent tous Google Analytics.
- 40 % d’entre eux possédaient déjà une solution en complément parmi AT Internet, Matomo ou Adobe Analytics.
- 60 % se sont posés la question du débranchage de GA ou d’un dual tracking avec une autre solution.
Il ressort 3 grands types de réactions pour ces utilisateurs de Google Analytics
-
- Attendre des précisions de la CNIL et l’avis du DPO (délégué à la protection des données)
- Lancer un audit de la collecte des données et étudier la mise en place d’une solution alternative avec le choix d’outil, le périmètre, les ressources
- Débrancher Google Analytics dès que possible et le remplacer au plus vite par une solution
Comment avancer avec Google Analytics
Parmi les 2 grandes tendances, la première est de conserver GA en attendant plus d’informations de la part de la CNIL mais aussi de la part de GA via des évolutions qui seront conformes au RGPD.
Dans ce cas, il est nécessaire de continuer le travail de mise conformité en s’assurant que le recueil du consentement est réalisé sur les sites & app à travers une bannière de consentement qui est connectée au TMS (gestionnaire des balises) et qui va donc conditionner les tags publicitaires et de mesure d’audience.
Il faut également s’assurer qu’une fois la donnée collectée, elle ne contient pas de données personnelles (PII) mais aussi que la “data prévention” est respectée avec des données purgées à plus de 30 mois si l’utilisateur est inactif sur les sites. Enfin, il faut renouveler le consentement tous les 6 mois et anonymiser les PII et les adresses IP.
Avec ce choix, on prend cependant le risque d’être mis en demeure par la CNIL.
Comment se préparer pour décommissionner Google Analytics
Selon notre panorama, certains clients considèrent qu’il est temps de décommissionner progressivement Google Analytics en installant une deuxième solution en parallèle et en déployant un tracking de plus en plus approfondi avec ce second outil.
Pour commencer, Il est nécessaire de faire une étude des solutions alternatives en collaboration avec les équipes juridiques. Il faut ainsi documenter l’architecture des outils implantés, comprendre l’impact d’un point de vue technique, mapper tous les traitements de données faits via Google Analytics et mettre en place un planning de déploiement.
Cela implique une politique de conduite du changement avec la formation des équipes au nouvel outil et une documentation approfondie pour configurer l’outil. En parallèle, il est nécessaire d’anticiper un écart de données car chaque solution propose des méthodes de calcul différentes. Cette nouvelle solution peut également avoir un impact sur le monitoring de la performance avec la mise à jour des tableaux de bord.
Il y a également un enjeu autour de l’historique des données mais il est possible de transférer des données GA vers d’autres outils en gardant jusqu’à 13 mois d’historique. De même, au sujet du changement de tracking, il est généralement possible de capitaliser sur le data layer existant : le travail de collecte technique avec l’IT n’est en général pas à refaire dans son intégralité.
Retrouvez l’intégralité de la prise de parole d’Aurélien Magnan sur
Si vous souhaitez en savoir plus sur ce sujet ou si vous souhaitez être accompagné pour mettre en conformité votre Google Analytics ou pour vous préparer à un changement de solution, les équipes d’Elevate Agency sont à votre écoute. Nous contacter
* https://w3techs.com/technologies/history_overview/traffic_analysis
Photo by Myriam Jessier on Unsplash