Aujourd’hui une décision de la CNIL est tombée : l’usage de Google Analytics serait illégal en France en appuyant sur le manque d’encadrements sur les transferts des données avec la possibilité d’accès des services de renseignements américains.
Edit 08/2022 : Une liste de questions / réponses à été publiée par la CNIL. En résumé, GA est bien illégal, même avec consentement sauf s’il est envoyé par un proxy en dégradant la donnée.
Source : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics
Ceci est un article à chaud, il est sûrement incomplet et j’essaierai de le mettre à jour au fur et à mesure des communiqués des différentes parties. Je vous mets un maximum de lien pour que vous puissiez vous faire votre propre opinion.
Ce qu’il faut retenir de la décision
Tout d’abord l’article cible « un gestionnaire de site », ce n’est donc pas une directive applicable à tous les sites, même si dans l’esprit ce communiqué fait office de jurisprudence.
Point important : Seul le gestionnaire du site doit faire les changements en un mois, si vous recevez une amende disant de payer suite à la décision de la CNIL ce sera une arnaque. La seule lettre officielle que vous pourrez recevoir est une mise en demeure avec un délai pour vous mettre en conformité (on y reviendra plus bas)
Une décision europénne : Cette décision fait suite à une décision similaire en Autriche où Google à été déclaré illégal pour les mêmes raisons. D’autres « CNIL » devraient suivre le pas.
La politique de renseignement américain dans le viseur : Le problème ne vient pas de l’outil ni même du gestionnaire du site en question. Il s’agit de cibler la possibilité que le renseignement américain puisse faire la demande d’accès au service. Si vous êtes curieux il s’agit des lois FISA et Cloud Act qui ont déclenché 101 plaintes par NOYB. La notion de consentement ne semble pas être sur la table pour cette décision. Il y a donc fort à parier que le gestionnaire du site en question soit un des 101 plaintes (ou que cela concerne plusieurs gestionnaires mais que la CNIL restent volontairement flou sur le nom).
D’autres pourraient suivre et pas uniquement des GAFAM, Stripe s’est déjà fait épingler pour le même sujet. D’autres éditeurs de sites pourraient avoir le même genre de mise en demeure, sans pour autant que cela fasse l’objet d’une communication officielle sur le site de la CNIL.
Pas de sanction pécuniaire n’a été évoqué pour le gestionnaire de site ou pour Google (pour le moment).
Est-ce que cette décision rend GA illégal ?
Oui, pour le moment, cette décision rend toute utilisation de GA bancale. Google a fait un communiqué hier pour dire qu’ils allaient fournir de nouveaux outils.
Comme dit plus haut, le risque actuel est une mise en demeure de retirer l’outil, vraisembablement sous un mois.
Que faut-il faire ?
Si vous lisez ce blog depuis longtemps vous êtes déjà informé des actions à faire avec les problématiques RGPD sinon lisez l’article sur le suivi de l’audience en 2021.
À noter que l’exemption des outils analytics est une particularité française qui pourrait sauter à tout moment, tout comme la relative souplesse de la CNIL face à la présence d’un bouton « continuer sans accepter » qui pourrait disparaitre bien plus vite si les éditeurs continuent à jouer à Où est Charlie avec.
Ici le consentement n’est pas en question car même avec le consentement le transfert de données vers une entreprise américaine a lieu.
Il y a donc plusieurs pistes si vous souhaitez garder Google Analytics:
- Espérer que les Etats-Unis et l’Europe se mettent d’accord sur un assouplissement de la loi
- Attendre que Google soit démantelé (lol)
- Attendre l’hébergement des données en Europe, via une société Européene (le cloud act se focalisant plus sur la nationalité de l’entreprise que sa présence géographique)
- Voir si les outils Google sont suffisants pour tacler ces problèmes (leur validation prendra du temps et sera forcément critiqué par les mêmes acteurs qui ont déposé la plainte car le cloud act s’appliquera encore)
Toutes ces actions prendront du temps, il est donc plus que conseillé d’utiliser des outils validés par la CNIL avec la configuration adéquate. La liste n’est pas exhaustive car d’autres outils existent mais n’ont juste pas poser de dossier auprès de la CNIL.
Analyse personnelle
Ce paragraphe sera mon avis personnel suite à de nombreux échanges que j’ai pu avoir hier face à cette décision.
Pour moi cette décision est assez déconnectée de la réalité, pour plusieurs raisons :
- GA n’est pas le grand méchant loup, c’est même un outil biaisé par Google car il est dans la main d’un gestionnaire de site. Pourquoi prendre des données d’un tiers lorsqu’on a une base de données hégémonique de moteur de recherche, site vidéo, navigateur, device et webmail ?
- Il existe en effet un partage de données avec Google Ads qui déverrouille des fonctionnalités telles que les rapports démographiques dans GA. Cela reste une ressource assez mineure par rapport à la donnée ci-dessus
- Dans la plupart des cas on parle de deux infos personnelles : l’ip et le user id GA. Ces données sont suffisantes pour vous proposer des crédits d’impots ou du CPF près de chez vous mais cela reste quand même des signaux assez faibles.
- Les États-Unis sont uniquement ciblés et GA prend pour les autres. Depuis le temps que la CNIL devait se prononcer on peut se réjouir que ce soit clair. En revanche si on tire le fil tous les outils américains sont concernés. Au revoir Stripe, Facebook, Twitter, Instagram, Youtube, etc.
- Il s’agit ni plus ni moins d’un coup de pression politique pour que les États-Unis bougent et cela devrait porter ses fruits.
- Faire du tracking analytics a normalement pour but d’améliorer le service et de piloter une activité. Je pense que la protection de la vie privée est une bonne chose car il y a eu des abus mais une réponse globale et mondiale serait la bienvenue si on ne veut pas creuser un retard technologique (on peut faire déduire beaucoup de choses en se basant uniquement sur les visites et non les visiteurs).
- Il existe une solution technique correcte : passer tout en server side et anonymiser la donnée pour l’envoyer à GA (attention le dépôt de cookie se fait encore côté client donc cela n’excluera pas le consentement)
En gros Google Analytics, c’est un peu Al Capone qui se fait choper car il a mal payé ses impôts, derrière cette démarche le poisson visé est bien plus gros.
Changer d’outil n’est pas juste changer un script. On parle ici de grosses sociétés qui ont sûrement du tracking avancé de comportement utilisateur avec des rapports câblés depuis des années et des utilisateurs non formés aux autres outils. Tout changer a un cout et prend du temps et non, ce n’est pas en un mois que cela peut se faire. À mon sens si on veut rentrer dans une mécanique vertueuse de protection de données personnelles alors il faut y mettre les moyens et répondre publiquement à des questions, ce que la CNIL ne fait pas aujourd’hui.
Mon dernier conseil pour ceux qui ne savent pas quoi faire : attendre quelques jours, installer un outil concurrent pour avoir au moins des stats d’audience et si ce n’est pas le cas vous pencher vraiment sur la problématique des consentements.
L’année 2022 risque d’être assez mouvementée sur ce point.
Très clair et tu ne cèdes pas à la panique ambiante. Si vraiment Google Analytics devait être illégal pour de bon, je trouve impensable que la CNIL ne donne qu’1 mois pour changer d’outil, alors qu’elle a donné des années pour installer un bandeau que tout le monde déteste.
Bonjour Vincent et merci d’être le « fer de lance » dès qu’il s’agit de rebondir sur les actualités de la CNIL et de Google Analytics.
Ce sensationnalisme a quand même un grand défaut : il crée des confusions de toutes parts et il faut effectivement remettre à chaque fois l’église au milieu du village.
Depuis le début, il ne fallait pas confondre RGPD et ePrivacy dans les bandeaux « Tout accepter / Tout refuser ». Et maintenant qu’on a réussi (je pense ?) à clarifier les deux cadres juridiques, nous voilà avec l’affaire inverse.
Il n’est pas question ici d’ePrivacy mais de RGPD pur. C’est presque maladroit que Google Analytics soit le bouc émissaire parce qu’en effet, ce n’est pas l’outil qui a le plus de données personnelles.
Tu en cites un certain nombre mais surtout des plateformes. Chaque utilisateur final consent à fournir ses données personnelles de façon individuelle (Facebook, Instagram, Twitter, Youtube,…).
Moi ce qui m’embête plus, ce sont les outils du quotidien d’une entreprise pour lesquels les « clients finaux » n’ont rien demandé :
– La suite Google tant qu’on ne paie pas 10 € par utilisateur par mois pour choisir l’emplacement des données ;
– Slack tant qu’on ne paie pas 11,75 € par utilisateur par mois ;
– Zoom tant qu’on ne paie pas 140 € par an ;
– Dropbox, Notion, Trello, Calendly, MailChimp, ActiveCampaign qui ne sont même pas prêts à nous proposer d’autres localisations…
– Et Stripe que tu as justement cité.
La liste est longue ! Comment vont faire les indépendants ? Les petites PME qui se digitalisent ? Les startups ?
On change tous nos outils du jour au lendemain ?
Parce qu’en fait, les CNIL de divers pays sont en train de dire que des DPA agrémentés de SCC ne suffisent pas à autoriser le transfert de données aux US. Pourtant c’était la solution de la CJUE pour permettre une certaine continuité.
Donc dorénavant, il faut forcément contractualiser avec des entreprises/filiales européennes qui conservent les données sur le sol européen. Pas évident, ça élimine beaucoup d’outils.
Et d’ailleurs… Google France et Google Ireland doivent bien dépendre d’une façon ou d’une autre de Google LLC, non ? Alors si la maison-mère est américaine, ça se passe comment ?
Franchement, depuis l’invalidation du Privacy Shield, on nage à vue. Vivement que cette guerre entre l’UE et les USA trouvent une résolution parce qu’en attendant, tout le monde est hors-la-loi.
Certains ne seront jamais inquiétés (tant mieux pour eux) et les gros serviront d’exemples.
Quel monde !
PS : Je suis quand même « pour » la protection des données personnelles. Mais quelle galère…
Merci Nicolas, ton commentaire est de grande qualité. En effet, l’utilisation des outils devient problématiques, je ne sais pas si la base légale du contrat suffira à contourner le problème.
Avec le recul je me dis que ça risque de bouger assez rapidement (rapide au niveau juridique donc d’ici à quelques mois).
Bonjour,
Merci pour ce post. J’ai appris des choses !
Il existe des solutions de migration de données pour ne pas perdre de la data ?
Bonjour Ramzi, je sais que Matomo propose de migrer ses données GA mais je n’ai jamais testé. Pour le reste ça dépend beaucoup du volume de données, parfois un simple export suffit
le server side est encore pire. Les données collectées sont identiques, transférées aussi au US, sauf que vous cachez la donnée à l’audience, aux bloqueurs de pub…mauvaise idée de réflechir comme cela.
Alors non. Le server side ne fait pas forcément référence au server side GTM, ça peut être rien qu’une analyse de logs par exemple. Et même dans le cas d’un server side GTM il est possible de le mettre sur n’importe quel plateforme dorénavant, y compris un cloud OVH
Bonjour Vincent, merci pour ce billet et cette analyse.
Cela va me servir de base pour informer les clients : le degré de connaissance et d’information est assez bas chez les ETI, PME, petits Ecommerçants par ex. Ce n’est que ce que j’observe.
J’ai du mal à imaginer une vague de sanctions lancée par la CNIL (hasard, délation..) : ce serait difficile à traiter amha.
En revanche les sites qui relèvent du domaine public ou de délégation de service public méritent aussi d’être informés : ils ne veulent pas prendre de risque.
Quels sont les outils que tu préconise de ton côté pour des petites organisations ? Histoire de les informer, et évaluer les coûts, tant du côté de l’implémentation de l’outil que de celui de la prise en main.
L’un des gros avantages de GA se trouve du côté backoffice et présentation des KPIs retenus pour piloter l’activité.
Pour les petits qui veulent juste un suivi d’audience un Abla, Plausible ou Phatom est une solution. Wysistat s’il faut le volet ACPM (ils vont sortir une nouvelle version).
Matomo pour ceux qui désirent un peu plus de données. AT pour le ecommerce. Il y en a plein d’autres, je n’ai pas la prétention d’avoir tout testé
La CNIL a déjà sanctionné des entreprises en complément d’une mise en demeure. C’était le cas de Carrefour. Certes les raisons étaient que les manquements étaient importants et nombreux (et pas que pour GA).
Une fois la communication passée et le délai de mise en demeure du gestionnaire actuel, il serait possible selon moi que la CNIL sanctionne financièrement en même temps que la mise en demeure, arguant que l’information ait déjà été diffusée.
En effet, il existe maintenant une procédure de sanction simplifiée qui risque d’accélérer les choses
https://www.nextinpact.com/lebrief/49598/une-procedure-sanctions-simplifiee-a-cnil
Attention toutefois, Carrefour avait beaucoup de manquements comme tu dis, GA était une paille dans toute la pile (on peut dire la même de la sanction du Figaro)