Google Analytics non conforme - Je fais quoi ?

Souvent associé à la vente en ligne sur internet, Google Analytics (mesure de fréquentation par les internautes) attribue un identifiant unique (donnée à caractère personnel) qui est transmis aux États Unis.

La CNIL a reçu plusieurs plaintes sur ces transferts. Elle a étudié la conformité du traitement associé à Google Analytics et considère les conditions de « garanties appropriées » non réunies. Seuls les sites visés par les plaintes ont reçu une mise en demeure mais ce n’est pas pour ça que les autres sont dans une situation légale. La CNIL a donné 1 mois aux « gestionnaires » des sites concernés par cette mesure pour se mettre en conformité.

L'avis du DPO :

Le marché de l’UE est trop important pour que Google Analytics ne prenne pas de mesure adaptée. Ceci étant, le modèle de financement de ce genre de business pose la question de l’usage des données… Google ne proposait pas gratuitement jusqu'à présent Google Analytics sans contrepartie. Vos données étaient utilisées..

Il est probable que la situation évolue, avec notamment un principe qui tente à se généraliser désormais comme les Cookies Wall. En effet, dans ce principe de Cookies Wall, l’internaute est obligé de fournir une contrepartie, en argent ou en « données », s’il souhaite accéder au site (ou aux services) ce qui rend de fait le service payant. D'un côté j'achète le service, de l'autre je l'échange contre mes données (qui seront utilisées par la suite).

D’autres services requièrent également la création d’un compte et l’acceptation de CGU pour y accéder (on parle alors de login wall), ce qui constitue également une forme de service « payant ».

Pour beaucoup de « petites structures », Google Analytics est peu utilisé. Il est installé et « on va voir les statistiques » quand on a un peu de temps ou pour vérifier une tendance, mais ce n’est pas un outil stratégique indispensable, ce qui n'est certainement pas le cas pour les "grosses" structures qui ont fait l'objet de cette plainte.

Dans tous les cas, la CNIL préconise que :

  • les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;
  • la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;
  • les informations collectées par l'intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;
  • les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un réexamen périodique afin d’être limitées au strict nécessaire.

Quels sont les choix résultants ?

Partant de cette analyse, trois choix sont possibles :
1° - On retire Google Analytics de ses services et on modifie le bandeau de la gestion de cookies en conséquence.
2° - On fait le choix d’attendre quelques jours (3 semaines maximum par rapport à la date de décision), le temps de voir les dispositions de Google et on avise.
3° - On propose une alternative à Google Analytics qui fait partie de la liste des solutions recommandées par la CNIL permettant de rentrer dans le cadre de l'exemption  au recueil de consentement.

Le choix de notre DPO :

En attendant des conclusions plus "claires", notamment sur les orientations que va donner Google à sa solution de traceurs statistiques, notre DPO préconise le remplacement de Google Analytics pour les clients qui n'exigent pas cette solution.

Certaines solutions cautionnées par la CNIL (https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience)  peuvent être configurées (configuration personnalisée) pour rentrer dans le périmètre de l’exemption au recueil du consentement. Des solutions comme Analytics Suite Delta de AT ou Matomo Analytics pourraient très bien convenir.

L'accompagnement Proximit :

Avant de contacter nos clients pour proposer cette transition, nos équipes techniques vont analyser les solutions techniques afin de vous proposer l'alternative correspondant au mieux à vos besoins et conforme au Règlement Général sur la Protection des Données.

Par ailleurs, notre DPO propose des modules d'accompagnement sur ces questions règlementaires.

Contactez-nous si vous vous posez des questions

La CNIL - Lanceurs d'alerte La CNIL - Lanceurs d'alerte
Solutions HIDS ou l'importance de connaître ses faiblesses Solutions HIDS ou l'importance de connaître ses faiblesses
L'usage de Google Analytics : alors, des nouvelles ? L'usage de Google Analytics : alors, des nouvelles ?