TEXT TO TASKS Bonjour à toutes et à tous. Encore…
Autonomie : celle de l'IA, la vôtre… Bonjour à toutes…
L'édito Autonomie : celle de l'IA, la vôtre… Bonjour à…
L'édito Apprendre Bonjour à tous. Force est de constater que…
Agence RnD > En ce moment > Journal > CNIL vs Google Analytics : la bataille est lancée

CNIL vs Google Analytics : la bataille est lancée

Google Analytics vs CNIL : une solution ?
Google Analytics jugé illégal par la CNIL. © Photo : Myriam Jessier

Le 10/02/22, la CNIL déclare Google Analytics illégal, la solution Analytics ne respectant pas le Règlement Général sur la Protection des données (RGPD). Depuis, les acteurs du marketing numérique s’activent : que faire ? RnD vous explique la situation et les enjeux au fur et à mesure des annonces.

Google Analytics & RGPD… Clap de fin !

11 février 2022

Le communiqué est tombé. Ce n’est pas une si grande surprise mais là ça y est, les choses sont claires….

Petit mémo à propos du RGPD

  • Rappel 1 : le RGPD ce n’est pas que les cookies. Il concerne l’ensemble des datas à caractère personnel : IP, informations tierces, informations croisées avec d’autres outils… Nous pouvons citer Google Ads et les actions de remarketing par exemple.
  • Rappel 2 : le RGPD est régi par la CNIL en France. Les règles et limites varient en fonction des pays de l’UE. Ces derniers ne sont pas encore à l’unisson (future loi UE ePrivacy) concernant la protection des données personnelles.

En attendant cette loi ePrivacy (le RGPD à l’échelle de l’UE, bon… on a encore bien un ou deux an(s) même s’ils accélèrent) et après le rejet du Privacy Shield (certification de manipulation des données aux États-Unis) : le RGPD conclue ENFIN avec un point de vue ferme vis-à-vis de Google Analytics.

Ce qu’il faut retenir de la décision de la CNIL : 

  • Au regard du RGPD, et plus particulière en violation des articles 44, les données recueillies dans Google Analytics sont susceptibles d’être envoyées aux États-Unis. Quelle surprise dites donc…
     
  • Google Analytics 4 (GA4) est encore en béta, ne respecte pas ses promesses et n’est pas RGPD-compliant. Cela explique son faible niveau d’intégration.

Les gestionnaires de sites web et les responsables de traitement ont un mois pour se mettre en conformité.

Le RGPD (avec mise en place CMP – Consent Management Platform) génère un vrai conflit depuis deux ans entre le DPO (Délégué à la protection des données)/service juridique et les services marketing (qui poussent au contraire les outils de suivis) des sites internet qui utilisent ces outils/données pour piloter leurs actions et contrôler la performance ! Le tout avec des conséquences d’intégration technique non neutres…

Soyons honnêtes : la majeure partie des services communication/marketing (agences comme clients finaux) essayaient au maximum de continuer l’utilisation de Google Analytics, et ce pour de multiples raisons. Parmi elles : habitudes, configurations, compréhension des données des internautes, performance, facilité de maillage avec d’autres outils marketing, …

Les zones grises du RGPD-compliant ?

  • Les solutions intermédiaires (jouant dans la zone grise) comme l’anonymisation IP et ne stockant pas les cookies étaient louables et faisaient pattes blanches. Néanmoins, elles ne sont plus acceptées maintenant.
     
  • Les solutions « cachées » comme le chargement des données (couches de données ou data layer) côté serveur (server-side, et donc non visible côté front/navigateur) sont également non légales s’il y a un contrôle (mais bien plus dur à contrôler, certes…).
     
  • Ne rien faire et risquer gros : ne rien dire, ne pas se mettre en conformité, attendre de voir si on est « pris sur le fait » ou mettre un bandeau cookie « So’2016 » uniquement pour le principe visuel sans aucune réalité technique de gestion de cookie derrière…

Alors… on fait quoi ? 

  • S’il y a consentement clair et exprimé en conformité au RGPD via un gestionnaire (un CMP) : le gestionnaire de site pourra charger ce qu’il veut.
     
  • S’il n’y a pas de consentement : il faut un outil de pilotage des datas qui soit RGPD-compliant (AT Internet ou Matomo pour ne citer qu’eux).
     
  • Les solutions côté serveurs avec les analyseurs de logs pourront être exploitées (dans un cadre, encore une fois, RGPD-compliant).

Tout semble indiquer que l’on se dirige vers des solutions mixtes avec ou sans consentement !

Sortiront alors du lot ceux qui arrivent à avoir des solutions ou des mélanges de solutions avec des regroupements. Plus que ça, ceux qui bénéficieront d’une compréhension claire des données qu’ils auront sous les yeux.

D’un outil à un autre, ce ne sont pas les mêmes données et pas les mêmes valeurs. Pire, ce sont parfois les mêmes termes mais pas les mêmes méthodes de collecte…

« Le grand ménage commence »

18 février 2022

C’est l’avis de Petitweb que nous partageons totalement suite à l’annonce de la CNIL. En Allemagne, l’attention est braquée sur Google Fonts car même les typos de Google aspirent des données.

Qui sera le prochain ? Google Ads ? Nicolas Malo, l’une des figures du data analytics en France, nous rappelait que l’identifiant Google Ads, le « gclid », est considéré par la CNIL comme une donnée personnelle ! Ça va être sport mais les solutions alternatives sont identifiées. Les déploiements avaient d’ailleurs déjà commencé dans une logique de test chez certains de nos clients.

La CNIL dévoile son plan stratégique 2022-2024

25 février 2022


Il y a quelques jours, la présidente de la CNIL, Marie-Laure Denis, a dévoilé les grands axes du plan stratégique 2022-2024 de l’institution.

Trois grands axes à retenir et à prendre en compte dans vos outils :

  1. Lutte contre la prospection commerciale subie.
  2. Le télétravail avec en ligne de mire certains outils de surveillance déployés par les employeurs.
  3. L’utilisation du Cloud avec notamment le risque de transfert de données personnelles en dehors de l’Union Européenne. Attention gros gros sujet avec de nombreuses répercussions à venir ! 

Les premières conséquences de l’interdiction de Google Analytics

04 mars 2022

Mise en demeure de Google Analytics par la CNIL : quelles conséquences ? Nous pouvons déjà en identifier quatre.

  1. Un renchérissement des coûts (rappelons que Google Analytics est un outil gratuit, au contraire des solutions alternatives) sans compter qu’il faudra payer encore plus pour un niveau de fonctionnalités équivalent.
  2. La remise en question des intégrations qui facilitent l’interconnexion des outils.
  3. Potentiellement de moindres performances commerciales, Google et son ciblage puissant dominant le marché.
  4. Le temps de formation et d’adaptation à la solution choisie ne sont pas à négliger.

Les semaines se ressemblent…

18 mars 2022

Rapide mise à jour sur le sujet qui nous occupe depuis trois semaines… Mais pas de vraie nouveauté du côté de Google. Lundi, Petitweb donnait le mode d’emploi pour se séparer de Google Analytics. Les alternatives : AT Internet (mais qui a des hébergements chez Amazon), puis en France : MatomoEulerian, … Cela confirme ce que nous vous disions : la boite de pandore est ouverte. 

Quels seront les prochains sur la liste ? Facebook Connect, Google Connect, Gmail, Salesforce, Shopify, Amazon Web Services, Hotjar, les solutions de tests A/B de Google, … ? On garde son sang froid, on prépare les alternatives et on attend de voir, prêts à dégainer en 2-3 semaines.

Google Analytics 4 : une réponse pour satisfaire la CNIL ?

25 mars 2022

Google Universal Analytics (UA) vit ses derniers jours, c’est décidé. Le géant du numérique l’a annoncé : les propriétés UA cesseront de fonctionner dans un peu plus d’un an (1er juillet 2023 et 1er octobre 2023 pour UA 360). Ainsi, Google Analytics ne traitera plus les nouvelles données entrantes sur ces propriétés et les données historiques resteront accessibles six mois.

Le géant Google nous annonce donc qu’il est temps de prendre en main Google Analytics 4 (GA4).

Tous les utilisateurs sont concernés sauf ceux qui ont directement créé des propriétés sur GA4. Pour savoir si vous êtes impacté, rien de plus simple. En effet, si la propriété créée débute par « UA-xxxxxx » alors préparez-vous au changement. Notons que cette migration est lourde avec de multiples impacts. Ce n’est pas la même technologie, ni la même interface, désignation de statistiques connues et nouvelles statistiques, maillage tiers, etc.

Une déclaration soudaine (mais très attendue), on se demande bien pourquoi…

Serait-ce une réponse du géant de Mountain View à la CNIL ayant jugé Google Analytics illégal ? Dans tous les cas, Google assure donner la priorité à la confidentialité des utilisateurs. Il déclare même qu’elle est au cœur du nouveau modèle. Rien de nouveau donc. Ce n’est que ce qui était annoncé depuis le début (mais qui n’était pas pleinement fonctionnel et/ou n’était pas tout à fait en accord avec la CNIL).

Google admet qu’Universal Analytics est une « méthodologie de mesure [qui] devient rapidement obsolète » puisqu’ancrée dans « le web de bureau, des sessions indépendantes et des données plus facilement observables à partir de cookies« . GA4, de son côté, ne repose plus exclusivement sur les cookies. Nous nous souvenons de la tentative des FLoC (flux des cohortes) refusée par la CNIL…

On vous explique les annonces.

  • GA4 utilise un modèle de données basé sur les événements. Ça peut être un clic sur une page ou un bouton en particulier, une inscription à une newsletter, etc. Nous noterons que la notion de “session” n’existe plus ! C’est maintenant un agrégat d’autres datas qui portera la donnée centrale de “l’engagement”. A la clé, un contrôle annoncé par Google comme étant “plus complet et granulaire”.
     
  • GA4 ne stocke plus les adresses IP des utilisateurs. La version actuelle ne permet pas de les anonymiser sans les héberger au préalable en dehors de l’UE. Là encore, rien de neuf sous le soleil… Mesure déjà annoncée et déjà possible avec une déclaration dédiée du tag actuel Universal. Google ne fait ici qu’une réponse marketing, en “riposte graduée”.

Concrètement, pour avoir accès à un historique de données confortable, il faut se mettre dès à présent à GA4 si on en croit Google.

Alors pourquoi passer à une solution alternative à Google Analytics si cette version est apte à satisfaire la CNIL (et ses homologues européens) et sa demande vis-à-vis de la politique de confidentialité ? 

Guillaume Regouby, Directeur du Pôle Trafic chez RnD vous livre ses éléments de réponse.

“En définitive, cette annonce n’en est pas une car avec 15 mois d’avance, cette date de fin programmée était attendue ! Le jeu du chat et de la souris avec la CNIL prend doucement fin et accélère la transition vers un monde sans cookies respectueux (au possible) des données à caractères personnelles.

Cette réponse de Google n’annonce en soit rien de nouveau. Effectivement, d’un point de vue légal dans les conditions actuelles, il n’y a pas de nouveaux éléments. La solution Analytics n’est pas plus légale qu’avant. Cette annonce est un effet marketing avec un focus sur un point précis : l’IP.

Les données transitent toujours via les US (avec un droit de regard du gouvernement donc). Qui plus est, nous devons faire confiance à la bonne parole de Google pour que les données à caractère personnel ne soient pas stockées/utilisées/agglomérées/rapatriées.

L’évolution attendue est tout autre. Quid du stockage de la data en Europe ou dans un web étatique par pays ? C’est cela qui répondrait au souci légal actuel. Ce n’est qu’une étape cependant, le “final boss” serait alors… la loi FISA ? Un accord global UE-US ? La loi ePrivacy pour harmoniser les avis pour tous les pays européens ? N’oublions pas que la CNIL n’a autorité qu’en France.

En conclusion, les solutions alternatives risquent de prendre du volume et de se pérenniser dans le paysage numérique. N’oublions pas qu’avec ce futur monde sans cookies, Google Analytics a beaucoup moins d’intérêt vis-à-vis des autres solutions Analytics ! Mais nous ne doutons pas que les services marketing et sociétés vivant de l’audience trouveront des passerelles intéressantes pour continuer de qualifier et suivre leur audience

Pour finir, une question plus économique se pose : Google Analytics est un outil essentiellement gratuit. Doit-on s’attendre à de tels efforts techniques de la part de Google pour des clients gratuits ? Doit-on s’attendre à une évolution de son modèle ?

En attendant, RnD avance avec ses clients vers des solutions tierces, respectueuses de la CNIL/RGPD et pérennes. Wait and see.”

Série Google Analytics-CNIL : nouvel épisode en ligne

10 juin 2022

Après quelques mois de silence, la CNIL vient de reprendre la parole pour éclaircir ce qu’elle attend des organismes utilisant Google Analytics. Pour rappel, la CNIL estime que Google n’a pas mis en place les mesures nécessaires pour exclure la possibilité d’un accès aux données des résidents européens par les autorités américaines (dont les services de renseignement américains). Le transfert de données vers les États-Unis se fait donc illégalement.

Savez-vous que plus d’une entreprise sur deux craint un contrôle de la CNIL concernant le RGPD ? Elles le peuvent puisque l’autorité a réinsisté sur le fait que, si vous utilisez Google Anaytics de la même façon que les organismes mis en demeure, alors vous en avez une utilisation illégale. L’ensemble des utilisateurs doivent se mettre en conformité. C’est en tout cas l’objectif visé. 

  • Alors, qu’en est-il de Google Analytics aujourd’hui ?

Rien n’a changé… Les clauses contractuelles proposées par défaut par l’outil de mesure d’audience ne peuvent pas assurer un « niveau de protection suffisant en cas de demande d’accès d’autorités étrangères« . Même les mesures supplémentaires mises en place par le géant du numérique sont insatisfaisantes. 

Une question se pose alors : pouvons-nous paramétrer l’outil analytics afin de ne pas réaliser de transferts de données hors de l’UE ? La réponse est claire : non. En effet, Google a déclaré que toutes les données collectées par le biais de son outil sont hébergées aux US. Même avec le consentement explicite des personnes, il n’y a pas de dérogation possible puisqu’il s’agit de transferts systématiques.

Concernant le transfert de données anonymes, là encore, Google ne répond pas pleinement aux exigences. En effet, les données sont « pseudonymisées » mais pas anonymisées. Certes, Google utilise les adresses IP anonymement mais cela ne concerne pas l’ensemble des transferts. De plus, rien ne nous prouve que cette anonymisation se réalise avant l’arrivée des données aux États-Unis.

Cerise sur le gâteau, les identifiants uniques ne rendent pas impossible le fait de rendre les données identifiables et le chiffrement des données est insuffisant (les autorités US pouvant, si elles le demandent, accéder aux données en clair). Compliqué… 

En résumé, le problème réside dans le fait qu’il y ait contact direct, par le biais d’une connexion HTTPS, entre le terminal utilisé par l’internaute et les serveurs Google. Une solution possible mais complexe existe : la proxyfication. Sous un nom un poil barbare, il s’agit finalement d’utiliser un serveur mandataire (proxy) pour éviter ce contact direct. Une fois n’est pas coutume, un ensemble de critères sont à respecter pour empêcher une réidentification des internautes. Nous vous invitons à prendre connaissance des conditions de conformité.

  • Et les solutions alternatives dans tout ça ?

Admettons que Google Analytics ne transfert pas les données des résidents européens aux Etats-Unis. La CNIL précise que, de toute façon, avoir recours à des solutions extra européennes n’est pas une bonne pratique. Ces dernières sont susceptibles de présenter des difficultés en matière d’accès aux données (par les autorités étrangères).

Il n’existe pas 36 solutions à l’heure actuelle avec les informations dont nous disposons : se tourner vers un prestataire proposant des garanties suffisantes

En septembre 2021, la CNIL publie une liste d’outils analytics exempts de consentement. Par ailleurs, elle est toujours d’actualité. Attention tout de même, elle n’examine pas encore les enjeux des transferts internationaux.

Finalement, des transferts de données entre l’Europe et les Etats-Unis seraient, en pratique, possibles à une condition : la mise en place de mesures techniques, juridiques et organisationnelles supplémentaires. Wait and see… 

Enfin, vous l’espériez peut-être mais la CNIL ne s’exprime pas (encore) sur les réponses apportées par Google avec Google Analytics 4 (GA4). N’attendons pas et prenons les devants : préparez les plans B. A voir s’il faudra les activer ou non et si oui quand ?n

Newsletter

Chaque vendredi matin, retrouvez une synthèse des informations du marketing digital à replacer lors de votre prochaine réunion.