Vous avez sûrement vu passer l’info phare de la semaine dernière : Un gestionnaire de site a été mis en demeure par la CNIL, lui demandant d’arrêter l’usage de Google Analytics.
Pourquoi ?
Est-ce que ça sous-entend que Google Analytics est un outil illégal ?
Est-ce qu’il faut vite passer à autre chose ?
Pourquoi Google Analytics et pas, par exemple, le Facebook Pixel ou le tag Google Ads ?
On y répond point par point.
L’instant disclaimer :
Le sujet est vaste, je ne suis pas un expert sur le sujet mais il est évidemment incroyablement lié au job de marketer digital, donc il faut s’y intéresser de près. Tout ce qui suit n’a aucunement valeur de conseil juridique. Rapprochez-vous de vos DPOs ou de vos conseils pour fonder vos propres décisions.
Et pour faire les choses dans le désordre, descendons la chaîne de questions.
Pourquoi ?
L’association autrichienne Noyb a réalisé pas moins de 101 plaintes contre des gestionnaires européens dans le même délire que le sujet qui nous occupe aujourd’hui. (noyb = None Of Your Business, c’est bien trouvé, non?)
En recoupant les infos, les mis en demeure actuels seraient donc Auchan, Decathlon et Séphora. D’autres devraient bientôt recevoir leur joyeuse mise en demeure.
Est-ce que ça sous-entend que Google Analytics est un outil illégal ?
Plusieurs lectures sont possibles…
Si on reprend la base de la plainte de Noyb, ce qui est mis en lumière par l’association, c’est le transfert de données personnelles aux USA. Ce qui n’est pas conforme au sens du RGPD (article 44, j’ai potassé le truc), car les USA ne seraient pas un pays permettant la gestion des données de manière sécurisée. Pour plus de détails, je vous invite à voir ce qui se rapporte au Cloud Act (« Clarifying Lawful Overseas Use of Data Act), loi US de 2018 qui permet aux autorités américaines de se saisir de données sur les serveurs de sociétés américaines. Qu’importe où ils se trouvent d’ailleurs. (à retenir, ça nous intéressera sur la suite)
Vous me direz, des données personnelles dans GA ?
Mais je croyais que c’était interdit par les conditions générales d’utilisation du service ?
Oui, mais tout dépend du scope…
S’il est certain qu’un site remontant des adresses email en clair dans son tracking GA se ferait dégommer en quelques temps, la plainte de Noyb note qu’ont été collectés : « au moins l’adresse IP du plaignant et les données des cookies »
Déjà, premier élément de réponse que j’entrevois : il existe une fonctionnalité d’anonymisation des adresses IP dans Google Analytics. Elle est même activée par défaut dans GA4 (si vous n’avez pas encore mis de double tracking avec la nouvelle version de Google Analytics, il faut qu’on parle 2 secondes, répondez à ce mail et on prend quelques instants par tél).
Dans ce contexte, on peut imaginer qu’il « suffirait » de revoir sa copie.
Pour autant, le fait que Google Analytics n’ait pas encore de configuration permettant l’exemption de consentement laisse songeur.
Est-ce qu’il faut vite passer à autre chose ?
Alors, passer à autre chose, pas forcément. Ce serait probablement surréagir.
Par contre, se doter d’un élément de webanalyse conforme à l’exemption de consentement dans les termes du RGPD, ça c’est déjà recommandé, ne serait-ce que pour avoir un tracking complet de ses visites.
La CNIL recense ces solutions et un peu plus d’une dizaine sont déjà affichées avec leur guide de configuration.
Chose intéressante, AT Internet est bien listé sur le site de la CNIL, et ce, malgré son rachat en mars 2021 par Piano, une société américaine. Oui, mais dans une version light. Je vous invite à lire son guide de configuration et vous verrez qu’il faut désactiver un paquet d’éléments pour bénéficier de l’exemption de consentement.
Pourquoi Google Analytics et pas, par exemple, le Facebook Pixel ou le tag Google Ads ?
On y vient, on y vient. Si vous vous souvenez du début du mail, l’association a balancé pas moins de 101 plaintes. Facebook y est également largement repris. Et chose intéressante, l’usage de Facebook Connect est également nommément désigné, comme dans la plainte concernant Leroy Merlin. (nos fleurons nordistes sont une cible privilégiée des autrichiens à croire !… Force à leurs équipes)
Nul doute que les prochaines décisions vont éclairer tout ça…
En bref
Je n’aime pas finir mes articles sans tips activables. Mais l’heure ne semble pas vraiment être aux tips, alors notons juste quelques actions :
- Au moins se renseigner sur un tracking alternatif.
- Se mettre en veille active sur le sujet
- Prendre un bon café avant d’attaquer les lectures sur le sujet
A date, et malgré les titres racoleurs, plusieurs lectures convergent vers la notion de « un site visé aura 30 jours pour se mettre en conformité après avoir reçu une mise en demeure ». (ce qui laisse effectivement entendre qu’un souci réside notamment dans la configuration et l’utilisation des outils et la collecte des données qui y est associée)
Ceux qui prêchent pour un changement immédiat, radical et non réfléchi, en criant sur tous les toits à la fin du monde, ceux-là me semblent faire du bruit soit pour faire du clic, soit pour vendre leur solution alternative.