Calme... Une actualité du marketing numérique plus calme cette semaine.…
Comme vous le savez, sur chaque newsletter du vendredi nous…
All-in ! Evidemment cette semaine sera marquée par l'offre d'Elon…
Comme vous le savez, sur chaque newsletter du vendredi nous…
Agence RnD > En ce moment > Journal > Google Analytics vs CNIL : la bataille est lancée

Google Analytics vs CNIL : la bataille est lancée

Google Analytics vs CNIL : une solution ?
Google Analytics jugé illégal par la CNIL. © Photo : Myriam Jessier

Le 10/02/22, la CNIL déclare Google Analytics illégal, la solution Analytics ne respectant pas le Règlement Général sur la Protection des données (RGPD). Depuis, les acteurs du marketing numérique s’activent : que faire ? RnD vous explique la situation et les enjeux au fur et à mesure des annonces.

Google Analytics & RGPD… Clap de fin !

Le communiqué est tombé. Ce n’est pas une si grande surprise mais là ça y est, les choses sont claires….

Petit mémo à propos du RGPD

  • Rappel 1 : le RGPD ce n’est pas que les cookies mais l’ensemble des datas à caractère personnel : IP, informations tierces, informations croisées avec d’autres outils comme, par exemple, Google Ads et les actions de remarketing.
  • Rappel 2 : le RGPD est régi par la CNIL en France. Les règles et limites varient en fonction des pays de l’UE, qui ne sont pas encore à l’unisson (future loi UE ePrivacy). Nous en parlions il y a peu dans notre newsletter.

En attendant cette loi ePrivacy (le RGPD à l’échelle de l’UE, bon… on a encore bien un ou deux an(s) même s’ils accélèrent) et après le rejet du Privacy Shield (certification de manipulation des données aux Etats-Unis) : le RGPD conclue ENFIN avec un point de vue ferme vis-à-vis de Google Analytics.

Ce qu’il faut retenir de la décision de la CNIL : 

  • En violation des articles 44, les données recueillies dans Google Analytics sont susceptibles d’être envoyées aux États-Unis (ho ? … ho ! … qui s’en serait douté ?).
     
  • Google Analytics 4 (GA4) est encore en béta, ne respecte pas ses promesses et n’est pas RGPD-compliant (d’où son faible niveau d’intégration).

Les gestionnaires de sites web et les responsables de traitement ont un mois pour réagir.

Le RGPD (avec mise en place CMP – Consent Management Platform) génère un vrai conflit depuis deux ans entre le DPO (Délégué à la protection des données)/service juridique et les services marketing (qui poussent au contraire les outils de suivis) des sites internet qui utilisent ces outils/données pour piloter leurs actions et contrôler la performance ! Le tout avec des conséquences d’intégration technique non neutres…

Soyons honnêtes : la majeure partie des services communication/marketing (agences comme clients finaux) essayaient au maximum de continuer l’utilisation de Google Analytics, et ce pour de multiples raisons. Parmi elles : habitudes, configurations, compréhension des données des internautes, performance, facilité de maillage avec d’autres outils marketing, …

Les zones grises du RGPD-compliant ?

  • Les solutions intermédiaires (jouant dans la zone grise) comme l’anonymisation IP et ne stockant pas les cookies étaient louables et faisaient pattes blanches (mais ne sont plus acceptées maintenant).
     
  • Les solutions « cachées » comme le chargement des données (couches de données ou data layer) côté serveur (server-side, et donc non visible côté front/navigateur) sont également non légales s’il y a un contrôle (mais bien plus dur à contrôler, certes…).
     
  • Ne rien faire et risquer gros : ne rien dire, ne pas se mettre en conformité, attendre de voir si on est « pris sur le fait » ou mettre un bandeau cookie « So’2016 » uniquement pour le principe visuel sans aucune réalité technique de gestion de cookie derrière…

Alors… on fait quoi ? 

  • S’il y a consentement clair et RGPD-compliant via un gestionnaire (un CMP) : le gestionnaire de site pourra charger ce qu’il veut.
     
  • S’il n’y a pas de consentement : il faut un outil de pilotage des datas qui soit RGPD-compliant (AT Internet ou Matomo pour ne citer qu’eux).
     
  • Les solutions côté serveurs avec les analyseurs de logs pourront être exploitées (dans un cadre, encore une fois, RGPD-compliant).

Tout semble indiquer que l’on se dirige vers des solutions mixtes avec ou sans consentement !

Sortiront alors du lot ceux qui arrivent à avoir des solutions ou des mélanges de solutions avec des regroupements et surtout,  une compréhension claire des données qu’ils auront sous les yeux.

D’un outil à un autre, ce ne sont pas les mêmes données et pas les mêmes valeurs. Pire, ce sont parfois les mêmes termes mais pas les mêmes méthodes de collecte…

« Le grand ménage commence »

C’est l’avis de Petitweb que nous partageons totalement suite à l’annonce de la CNIL : Google Analytics déclaré illégal en France (RGPD oblige VS transfert des données des internautes aux US). En Allemagne, l’attention est braquée sur Google Fonts car même les typos de Google aspirent des données.

Qui sera le prochain ? Google Ads ? Nicolas Malo, l’une des figures du data analytics en France, nous rappelait que l’identifiant Google Ads, le « gclid », est considéré par la CNIL comme une donnée personnelle ! Ça va être sport mais les solutions alternatives sont identifiées. Les déploiements avaient d’ailleurs déjà commencé dans une logique de test chez certains de nos clients.

La CNIL dévoile son plan stratégique 2022-2024


Il y a quelques jours, la présidente de la CNIL, Marie-Laure Denis, a dévoilé les grands axes du plan stratégique 2022-2024 de l’institution.

Trois grands axes à retenir et à prendre en compte dans vos outils :

  1. Lutte contre la prospection commerciale subie.
  2. Le télétravail avec en ligne de mire certains outils de surveillance déployés par les employeurs.
  3. L’utilisation du Cloud avec notamment le risque de transfert de données personnelles en dehors de l’Union Européenne. Attention gros gros sujet avec de nombreuses répercussions à venir ! 

Les premières conséquences de l’interdiction de Google Analytics

Mise en demeure de Google Analytics par la CNIL : quelles conséquences ? Nous pouvons déjà en identifier quatre.

  1. Un renchérissement des coûts (rappelons que Google Analytics est un outil gratuit, au contraire des solutions alternatives) sans compter qu’il faudra payer encore plus pour un niveau de fonctionnalités équivalent.
  2. La remise en question des intégrations qui facilitent l’interconnexion des outils.
  3. Potentiellement de moindres performances commerciales, Google et son ciblage puissant dominant le marché.
  4. Le temps de formation et d’adaptation à la solution choisie ne sont pas à négliger.

Les semaines se ressemblent…

Rapide mise à jour sur le sujet qui nous occupe depuis trois semaines… Mais pas de vraie nouveauté du côté de Google. Lundi, Petitweb donnait le mode d’emploi pour se séparer de Google Analytics. Les alternatives : AT Internet (mais qui a des hébergements chez Amazon), puis en France : MatomoEulerian, … Cela confirme ce que nous vous disions : la boite de pandore est ouverte. 

Quels seront les prochains sur la liste ? Facebook Connect, Google Connect, Gmail, Salesforce, Shopify, Amazon Web Services, Hotjar, les solutions de tests A/B de Google, … ? On garde son sang froid, on prépare les alternatives et on attend de voir, prêts à dégainer en 2-3 semaines.

Google Analytics 4 : une réponse pour satisfaire la CNIL ?

Google Universal Analytics (UA) vit ses derniers jours, c’est décidé. Google l’a annoncé : les propriétés UA cesseront de fonctionner dans un peu plus d’un an (1er juillet 2023 et 1er octobre 2023 pour UA 360). Google Analytics ne traitera plus les nouvelles données entrantes sur ces propriétés et les données historiques resteront accessibles six mois.

Le géant Google nous annonce donc qu’il est temps de prendre en main Google Analytics 4 (GA4).

Tous les utilisateurs sont concernés sauf ceux qui ont directement créé des propriétés sur GA4. Pour savoir si vous êtes impacté, rien de plus simple : si la propriété créée débute par « UA-xxxxxx » alors préparez-vous au changement. Notons que cette migration est lourde avec de multiples impacts : pas la même technologie, ni la même interface, désignation de statistiques connues et nouvelles statistiques, maillage tiers, etc.

Une déclaration soudaine (mais très attendue), on se demande bien pourquoi…

Serait-ce une réponse du géant de Mountain View à la CNIL ayant jugé Google Analytics illégal ? Dans tous les cas, Google assure donner la priorité à la confidentialité des utilisateurs. Il déclare même qu’elle est au cœur du nouveau modèle. Rien de nouveau donc ; ce n’est que ce qui était annoncé depuis le début (mais qui n’était pas pleinement fonctionnel et/ou n’était pas tout à fait en accord avec la CNIL).

Google admet qu’Universal Analytics est une « méthodologie de mesure [qui] devient rapidement obsolète » puisqu’ancrée dans « le web de bureau, des sessions indépendantes et des données plus facilement observables à partir de cookies« . GA4, de son côté, ne repose plus exclusivement sur les cookies (et nous nous souvenons de la tentative des FLoC -flux des cohortes- qui a été refusée par la CNIL).

On vous explique ce qui est annoncé.

  • GA4 utilise un modèle de données basé sur les événements. Ça peut être un clic sur une page ou un bouton en particulier, une inscription à une newsletter, etc. Nous noterons que la notion de “session” n’existe plus ! C’est maintenant un agrégat d’autres datas qui portera la donnée centrale de “l’engagement”. A la clé, un contrôle annoncé par Google comme étant “plus complet et granulaire”.
     
  • GA4 ne stocke plus les adresses IP des utilisateurs. La version actuelle ne permet pas de les anonymiser sans les héberger au préalable en dehors de l’UE. Là encore, rien de neuf sous le soleil… Mesure déjà annoncée et déjà possible avec une déclaration dédiée du tag actuel Universal. Google ne fait ici qu’une réponse marketing, en “riposte graduée”.

Concrètement, pour avoir accès à un historique de données confortable, il faut se mettre dès à présent à GA4 si on en croit Google.

Alors pourquoi passer à une solution alternative à Google Analytics si cette version est apte à satisfaire la CNIL (et ses homologues européens) et sa demande vis-à-vis de la politique de confidentialité ? 

Guillaume Regouby, Directeur du Pôle Trafic chez RnD vous livre ses éléments de réponse.

“En définitive, cette annonce n’en est pas une car avec 15 mois d’avance, cette date de fin programmée était attendue ! Le jeu du chat et de la souris avec la CNIL prend doucement fin et accélère la transition vers un monde sans cookies, respectueux (au possible) des données à caractères personnelles.

Cette réponse de Google n’annonce en soit rien de nouveau. D’un point de vue légal dans les conditions actuelles, il n’y a pas de nouveaux éléments : la solution Analytics n’est pas plus légale qu’avant. Cette annonce est un effet marketing avec un focus sur un point précis : l’IP.

Les données transitent toujours via les US (avec un droit de regard du gouvernement donc) et nous devons faire confiance à la bonne parole de Google pour que les données à caractère personnel ne soient pas stockées/utilisées/agglomérées/rapatriées.

L’évolution qui serait attendue est tout autre. Quid du stockage de la data en Europe ou dans un web étatique par pays ? C’est cela qui répondrait au souci légal actuel. Ce n’est qu’une étape cependant, le “final boss” serait alors… la loi FISA ? Un accord global UE-US ? La loi ePrivacy pour harmoniser les avis pour tous les pays européens ? N’oublions pas que la CNIL n’a autorité qu’en France.

Conclusion : les solutions alternatives risquent de prendre du volume et de se pérenniser dans le paysage numérique. N’oublions pas qu’avec ce futur monde sans cookies, Google Analytics a beaucoup moins d’intérêt vis-à-vis des autres solutions Analytics ! Mais nous ne doutons pas que les services marketing et sociétés vivant de l’audience trouveront des passerelles intéressantes pour continuer de qualifier et suivre leur audience

Pour finir, une question plus économique se pose : Google Analytics est un outil essentiellement gratuit. Doit-on s’attendre à de tels efforts techniques de la part de Google pour des clients gratuits ? Doit-on s’attendre à une évolution de son modèle ?

En attendant, RnD avance avec ses clients vers des solutions tierces, respectueuses de la CNIL/RGPD et pérennes. Wait and see.”

Newsletter

Chaque vendredi matin, retrouvez une synthèse des informations du marketing digital à replacer lors de votre prochaine réunion.