MenuMenu

Privacy Shield - Google Analytics doit disparaître de vos sites web… et ce n’est que le début

Après l’Autriche, La CNIL vient à son tour de constater que Google Analytics viole le RGPD parce que les flux de données vers les Etats-Unis ne sont pas assez sécurisés. Une raison de plus de changer d’outil. Et aussi de vous préparer à affronter l’après Privacy-Shield.

Comment faire ? Evitez les solutions américaines à ce stade. En France, la CNIL tient à jour une liste de solutions bénéficiant de l’exemption de consentement pour le dépôt de cookies. Vous pourrez y trouver de très bonnes solutions comme AT Internet, Abla Analytics, Matomo ou encore Piwik Pro.

On vous en parle. C’est notre actualité juridique du jour.

Pourquoi la CNIL et d’autres disent non à Google Analytics ?

La fin du Privacy Shield continue de produire tous ses effets.

Dans le monde d’après, toute entreprise procédant à des flux de données personnelles vers les Etats-Unis doit sécuriser ce transfert :

  • d’une manière contractuelle, par exemple en signant des clauses contractuelles types ;
  • d’une manière technique en mettant en place des mesures tels que le chiffrement ou l’anonymisation.

En pratique, tous les flux sont concernés car on fait appel à des fournisseurs et prestataires américains pour un grand nombre de choses :

  • externalisation de la relation clients ;
  • hébergement d’un site web et de sa base de données ;
  • utilisation de plateformes de type ERP, CRM...

Depuis quelques temps, les cookies aussi sont concernés. Après l’EDPS (qui a rendu une décision à l’encontre du Parlement Européen) et le régulateur autrichien, c’est la CNIL qui vient de s’attaquer à Google Analytics.

Le constat est simple : si Google a mis en place des mesures, elle se révèle incapable d’empêcher que les services de renseignements américains ne puissent accéder à ces données. Dans ces conditions, ce fournisseur ne passe pas le cap, les flux de données en direction des Etats-Unis violent le RGPD.

Google Analytics définitivement en violation avec le RGPD ?

Google Analytics est aujourd’hui encore l’outil analytique le plus utilisé dans le monde, laissant la concurrence loin derrière. Tout le monde a pris l’habitude de se former sur cet outil.

De là à dire que la non-conformité de Google est une surprise… il y a un pas que nous ne franchirons pas. Cela fait un moment que nous vous conseillons de rechercher une solution alternative.

Car bien que pratique et soi-disant gratuit, l’outil comporte de nombreux défauts.

  • Google n’est pas un simple fournisseur. Il utilise aussi les données pour son propre compte. Pour l’éditeur du site, c’est tout de même grave parce que cela implique de communiquer des données à un tiers dans des conditions qu’il ne maîtrise pas.
  • Google Analytics se combine un peu trop facilement à Google Ads et à une utilisation plutôt publicitaire. Cette proximité explique en partie que contrairement à d’autres, GA ne bénéficie pas de l’exemption de consentement propres aux solutions de mesure d’audience. Le consentement préalable est donc nécessaire pour déposer les cookies de Google.

La récente décision de la CNIL est un peu la goutte d’eau qui fait déborder le vase. Ce n’est pas insurmontable de modifier les flux de données pour les sécuriser. Et Google y travaille certainement en ce moment. Mais empêcher un accès potentiel par les services de renseignement américains est un vrai défi et il n’est pas certain qu’il y ait de bonne réponse.

Surtout, maintenant que les régulateurs en Europe franchissent progressivement le cap et tirent les conclusions de la fin du Privacy Shield, un cycle est lancé. D’autres sites web seront contrôlés. Vous pourriez être le prochain à qui la CNIL reproche l’utilisation de Google Analytics.

Car oui, l’éditeur du site est en première ligne. C’est lui que la CNIL va contrôler et qui pourra être sanctionné à ce stade. Pas Google.

C’est pourquoi vous devez vous préparer au changement.

Comment faire pour changer de solution analytics ? Visez le privacy-first

Pour tous les éditeurs qui utilisent cette solution, toutes les agences qui la recommandent à leurs clients, la décision de la CNIL est un véritable séisme.

Il va falloir ni plus ni moins que se dés-habituer de Google pour rechercher une solution alternative. Mais pour vous, c’est aussi l’occasion de choisir une solution privacy-friendly.

Comment faire ? Evitez les solutions américaines à ce stade. En France, la CNIL tient à jour une liste de solutions bénéficiant de l’exemption de consentement pour le dépôt de cookies. Vous pourrez y trouver de très bonnes solutions comme AT Internet, Abla Analytics, Matomo ou encore Piwik Pro.

Ca peut paraître moins sexy car vous aurez peut-être moins de data et d’indicateurs. Mais vous y gagnerez une approche plus éthique du traitement analytics des données, plus adaptée à vos besoins aussi.

Dans un deuxième temps, à vous de valoriser ces efforts dans votre communication.

Et Axeptio vous aide à faire ça. Comment ? C’est simple. Votre Consent Management Platform met en avant les cookies, et donc les outils, que vous utilisez. Désormais, Google Analytics n’apparaîtra plus, vous dévoilerez au contraire un choix de solution privacy-first. Voilà un argument supplémentaire pour renforcer la confiance de votre audience.

Fin du Privacy Shield – Google Analytics n’est que le début ?

La réponse est bien sûr : oui !

Comme nous vous l’avons expliqué. La problématique de sécurité des flux de données personnelles vers les US concerne tous vos fournisseurs américains :

  • Votre CRM ;
  • Facebook Pixel, Facebook Ads ;
  • Vos fournisseurs de moyens de paiement. Dans sa décision précitée, l’EDPS s’en est ainsi prise aux cookies Stripe ;
  • Les boutons de partage sur les réseaux sociaux ;
  • Les fonctionnalités de type Facebook Connect ou Google Connect.

Remplacer Google Analytics vous permet donc de vous mettre dans le bain car à moyen terme, revoir vos transferts de données se révélera nécessaire.

Pour cela, tenez-vous au courant des décisions rendues par les régulateurs des données. Elles donnent le la sur les outils qui seront dans le collimateur.

Conclusion : Oui il faut retirer Google Analytics de vos sites

La récente décision de la CNIL est un argument de plus qui doit vous convaincre qu’il est plus que temps d’abandonner Google Analytics.

  • Parce qu’en tant qu’acteur responsable, vous vous devez d’optimiser votre conformité RGPD. Quitte à cesser de travailler avec certains fournisseurs ;
  • Parce que votre audience se préoccupe de la manière dont vous traitez leurs données. Il vous appartient d’intégrer la privacy dans votre stratégie de marque.

Il existe d’autres fournisseurs de solutions sur le marché. Bien sûr, c’est un vrai changement, cela aura un coût et il faudra accepter des compromis.

Cela en vaut néanmoins la peine. Vous allez améliorer la pertinence de vos traitements de données et rendre votre activité plus user-friendly. Et grâce notamment à notre CMP, c’est un effort que vous valoriserez fièrement auprès de votre audience.