La CNIL, le RGPD et Google Analytics aka Le Bon, la Brute et le Truand version Web

5
(1)

Vous l’avez lu dans les journaux (du moins les médias spécialisés en ligne), la CNIL met en demeure une entreprise éditrice d’un site Web pour non-respect du RGPD, au regard de l’utilisation de Google Analytics. Ceci a provoqué beaucoup de tweets, et un peu d’encre, chez les spécialistes. Certains se réjouissent de l’annonce – les défenseurs de la vie privée et de l’Open Source en particulier – d’autres restent sceptiques sur l’application d’une telle décision. Il est vrai que dans la mesure où la quasi-totalité des entreprises en France qui suivent le trafic de leur site web le font avec Google Analytics, on imagine assez mal une révolution à ce niveau-là.

La guerre est-elle vraiment déclarée ? Faut-il s’y préparer ? Quel est le risque exactement pour une PME ou une ETI qui exploite un site vitrine ou un site e-commerce ? Peut-on se passer de statistiques Web ou existe-t-il des alternatives à Google Analytics ? C’est ce que nous allons essayer de voir dans cet article. 

La guerre entre la CNIL, le RGPD, et Google Analytics

Ce que la CNIL dit à propos de Google Analytics 

Le 10 février, la CNIL a publié sur son site un article informant qu’elle mettait en demeure le gestionnaire d’un site web. Le motif ? Des données personnelles, collectées depuis son site web, par l’intermédiaire de l’outil Google Analytics, sont transférées vers les États-Unis.  

La CNIL estime que ces transferts ne sont pas conformes au RGPD, et par conséquent sont illégaux et enjoint donc l’entreprise gestionnaire du site incriminé de ne plus utiliser cet outil dans les conditions actuelles. 

Pourquoi la CNIL se réveille-t-elle soudain ? 

Cela fait maintenant 17 ans que Google Analytics existe (vous avez bien lu). Et depuis au moins 15 ans qu’il est le leader incontesté des statistiques de trafic Web dans le monde. S’il s’est imposé en un temps record, c’est pour 3 raisons : 

  • L’outil était entièrement gratuit à sa création sans nécessité d’afficher un vilain logo sur son site 
  • L’information et sa datavisualisation étaient très qualitatives par rapport à ce dont on disposait à l’époque 
  • « L’effet Google » a fait son œuvre : tout le monde a foncé tête baissée (comme pour Gmail, Chrome, Maps, etc.) 
Google analytics

Les données sont collectées grâce à un code javascript qui fait le lien entre l’utilisateur, ses outils de connexion (ordinateur, téléphone, navigateur…), son identifiant Google éventuellement, son adresse IP, et autres informations personnelles, notamment comportementales. Ces données, collectées par Google, sont hébergées sur ses serveurs.  

Qu’est-ce qui a changé pour que la CNIL se réveille soudainement aujourd’hui, alors qu’elle a laissé faire jusqu’ici ?  

En premier lieu, on peut imaginer que les moyens attribués à la CNIL lui permettent d’être de plus en plus efficace. Depuis 2006, le budget attribué au personnel a été multiplié par 3*, ce n’est pas rien. Est-ce suffisant pour faire enfin respecter les règles de bon comportement vis-à-vis des données personnelles, dans ce far-west qu’est le Web ? Je pense plutôt qu’ils sont toujours largement en dessous de ce que cela nécessiterait. 

Pour autant, ils ne mâchent pas leurs efforts. En réalité cette action n’est pas une initiative propre à la CNIL, mais la conséquence de 101 plaintes, qui ont été déposées par l’association NOYB (pour « none of your business »), pour transfert illégal de données personnelles vers les États-Unis.  

Que peut faire le site en question ? 

A la lecture de la décision détaillée, on comprend que c’est le transfert de données personnelles qui a posé problème, caractérisée par exemple par une adresse IP ou un User ID. Bien que nous ne soyons pas juristes, nous en concluons qu’à court terme, un simple réglage dans les paramètres Google Analytics permettrait de solutionner immédiatement le problème rencontré par ce site. Il suffit de décocher une case du code de suivi. 

Cependant, cela ne solutionne pas le fait que le code Google Analytics ait pour effet la pose d’un cookie tiers sur la machine de l’utilisateur. Or, nous allons au-devant d’une autre guerre avec cette histoire. En effet, les éditeurs de sites web sont déjà confrontés à des barrières plutôt hautes concernant l’utilisation des cookies tiers, souvent à des fins publicitaires directes ou indirectes. Pour tous ceux qui ne vivent pas de la publicité hébergée sur leurs pages, notre recommandation serait de remplacer tout ce qui peut l’être par des cookies propriétaires, et donc de revenir à l’hébergement de ses propres solutions, chaque fois que possible. 

Google cherche à anticiper ces mesures drastiques, en modifiant le système de collecte notamment, d’où l’introduction de GA4 ou l’annonce de l’utilisation de cohortes pour l’analyse comportementale et le ciblage publicitaire (et plus récemment l’annonce de Google Topics, suite au FLop de FLoc 😉). Mais cela suffira-t-il ? Juridiquement je ne sais pas, mais philosophiquement nous assistons bien à un tournant, qui verra peut-être enfin les solutions alternatives sortir de la confidentialité. 

Matomo : la meilleure alternative à Google Analytics ? 

CNIL, Google Matomo

Sur Twitter, nous avons tous eu à peu près la même réaction : se tourner vers Matomo. Vous n’en aviez jamais entendu parler ? Normal, en France cette solution, alternative à Google Analytics, n’est encore que très peu connue. En Allemagne, elle représente pourtant 10 à 15% de part de marché des webanalytics.  

Outil gratuit et open source, Matomo présente l’immense avantage de pouvoir être hébergé sur le serveur de l’éditeur du site, réglant ainsi le problème des cookies tiers. L’éditeur est donc pleinement propriétaire des données collectées, qui restent chez lui et ne sont pas partagées avec Joe Biden. Dans la mesure où l’éditeur du site en fait un usage raisonnable et ne transmet pas ces data, la vie privée est bien plus respectée.  

Mieux : l’information recueillie est, nous semble-t-il, de bien meilleure qualité. D’ailleurs dans nos formations Google Analytics, notre discours est on ne peut plus clair : les informations collectées par Google sont au mieux imprécises, au pire carrément fausses. Notamment en matière de durée de visite des sites. D’ailleurs, Google procède à un obscur échantillonnage dont lui seul a le secret, contrairement à Matomo qui livre l’exhaustivité des données. Enfin, du point de vue de l’exploitation, on retrouve facilement ses petits dans l’interface Matomo, dont la datavisualisation n’a plus rien à envier à Google Analytics.  

Reste maintenant à s’affranchir de la panoplie d’outils Google. La force de Google réside aussi dans sa capacité à interconnecter sa galaxie d’outils pour faciliter leur gestion par l’utilisateur final. 

Faire interagir Matomo avec Google Search Console, Google Ads, Google Tag Manager ou Google Data Studio n’est pas aussi fluide… Mais c’est aujourd’hui le prix à payer pour respecter la vie privée de vos futurs clients. 

Qu’est-ce qu’on attend pour basculer nos stats ? 

Cochez la case correspondante : 

🔲 Que mon agence de stratégie digitale préférée nous en fasse la proposition (promis chers clients, c’est à l’ordre du jour de notre prochain comité de pilotage) 

🔲 Que la force de l’habitude nous quitte spontanément 

🔲 Que la CNIL vienne nous chercher des poux  

Il n’y a, à notre avis, pas de raison vitale de rester chez Google Analytics. En tant qu’agence digitale responsable, nous aimons assez l’idée de s’affranchir du quasi-monopole de Google, quand c’est possible, bien que nous reconnaissions volontiers que leurs produits et outils sont dans bien des cas fantastiques pour nos clients. Par ailleurs, l’un n’empêche pas l’autre, et Matomo et Analytics peuvent très bien cohabiter sur votre site, le temps de vous habituer à la nouveauté et de constater la différence.  

CTA - Contact

* Source data.gouv.fr (merci l’opendata) 

Qu'avez-vous pensé de ce post ?

Cliquez sur une étoile pour noter cet article !

Nous sommes désolés que cet article ne vous ait pas aidé ...

Aidez-nous à nous améliorer !

Comment pourrions-nous améliorer cet article ?

Laisser un commentaire