Google Analytics devient-il illégal en France et en Europe ?

Aujourd’hui une décision de la CNIL est tombée : l’usage de Google Analytics serait illégal en France en appuyant sur le manque d’encadrements sur les transferts des données avec la possibilité d’accès des services de renseignements américains.

Edit 08/2022 : Une liste de questions / réponses à été publiée par la CNIL. En résumé, GA est bien illégal, même avec consentement sauf s’il est envoyé par un proxy en dégradant la donnée.

Source : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics

Ceci est un article à chaud, il est sûrement incomplet et j’essaierai de le mettre à jour au fur et à mesure des communiqués des différentes parties. Je vous mets un maximum de lien pour que vous puissiez vous faire votre propre opinion.

Ce qu’il faut retenir de la décision

Tout d’abord l’article cible « un gestionnaire de site », ce n’est donc pas une directive applicable à tous les sites, même si dans l’esprit ce communiqué fait office de jurisprudence.

Point important : Seul le gestionnaire du site doit faire les changements en un mois, si vous recevez une amende disant de payer suite à la décision de la CNIL ce sera une arnaque. La seule lettre officielle que vous pourrez recevoir est une mise en demeure avec un délai pour vous mettre en conformité (on y reviendra plus bas)

Une décision europénne : Cette décision fait suite à une décision similaire en Autriche où Google à été déclaré illégal pour les mêmes raisons. D’autres « CNIL » devraient suivre le pas.

La politique de renseignement américain dans le viseur : Le problème ne vient pas de l’outil ni même du gestionnaire du site en question. Il s’agit de cibler la possibilité que le renseignement américain puisse faire la demande d’accès au service. Si vous êtes curieux il s’agit des lois FISA et Cloud Act qui ont déclenché 101 plaintes par NOYB. La notion de consentement ne semble pas être sur la table pour cette décision. Il y a donc fort à parier que le gestionnaire du site en question soit un des 101 plaintes (ou que cela concerne plusieurs gestionnaires mais que la CNIL restent volontairement flou sur le nom).

D’autres pourraient suivre et pas uniquement des GAFAM, Stripe s’est déjà fait épingler pour le même sujet. D’autres éditeurs de sites pourraient avoir le même genre de mise en demeure, sans pour autant que cela fasse l’objet d’une communication officielle sur le site de la CNIL.

Pas de sanction pécuniaire n’a été évoqué pour le gestionnaire de site ou pour Google (pour le moment).

Est-ce que cette décision rend GA illégal ?

Oui, pour le moment, cette décision rend toute utilisation de GA bancale. Google a fait un communiqué hier pour dire qu’ils allaient fournir de nouveaux outils.

Comme dit plus haut, le risque actuel est une mise en demeure de retirer l’outil, vraisembablement sous un mois.

Que faut-il faire ?

Si vous lisez ce blog depuis longtemps vous êtes déjà informé des actions à faire avec les problématiques RGPD sinon lisez l’article sur le suivi de l’audience en 2021.

À noter que l’exemption des outils analytics est une particularité française qui pourrait sauter à tout moment, tout comme la relative souplesse de la CNIL face à la présence d’un bouton « continuer sans accepter » qui pourrait disparaitre bien plus vite si les éditeurs continuent à jouer à Où est Charlie avec.

Ici le consentement n’est pas en question car même avec le consentement le transfert de données vers une entreprise américaine a lieu.

Il y a donc plusieurs pistes si vous souhaitez garder Google Analytics:

  • Espérer que les Etats-Unis et l’Europe se mettent d’accord sur un assouplissement de la loi
  • Attendre que Google soit démantelé (lol)
  • Attendre l’hébergement des données en Europe, via une société Européene (le cloud act se focalisant plus sur la nationalité de l’entreprise que sa présence géographique)
  • Voir si les outils Google sont suffisants pour tacler ces problèmes (leur validation prendra du temps et sera forcément critiqué par les mêmes acteurs qui ont déposé la plainte car le cloud act s’appliquera encore)

Toutes ces actions prendront du temps, il est donc plus que conseillé d’utiliser des outils validés par la CNIL avec la configuration adéquate. La liste n’est pas exhaustive car d’autres outils existent mais n’ont juste pas poser de dossier auprès de la CNIL.

Analyse personnelle

Ce paragraphe sera mon avis personnel suite à de nombreux échanges que j’ai pu avoir hier face à cette décision.

Pour moi cette décision est assez déconnectée de la réalité, pour plusieurs raisons :

  • GA n’est pas le grand méchant loup, c’est même un outil biaisé par Google car il est dans la main d’un gestionnaire de site. Pourquoi prendre des données d’un tiers lorsqu’on a une base de données hégémonique de moteur de recherche, site vidéo, navigateur, device et webmail ?
  • Il existe en effet un partage de données avec Google Ads qui déverrouille des fonctionnalités telles que les rapports démographiques dans GA. Cela reste une ressource assez mineure par rapport à la donnée ci-dessus
  • Dans la plupart des cas on parle de deux infos personnelles : l’ip et le user id GA. Ces données sont suffisantes pour vous proposer des crédits d’impots ou du CPF près de chez vous mais cela reste quand même des signaux assez faibles.
  • Les États-Unis sont uniquement ciblés et GA prend pour les autres. Depuis le temps que la CNIL devait se prononcer on peut se réjouir que ce soit clair. En revanche si on tire le fil tous les outils américains sont concernés. Au revoir Stripe, Facebook, Twitter, Instagram, Youtube, etc.
  • Il s’agit ni plus ni moins d’un coup de pression politique pour que les États-Unis bougent et cela devrait porter ses fruits.
  • Faire du tracking analytics a normalement pour but d’améliorer le service et de piloter une activité. Je pense que la protection de la vie privée est une bonne chose car il y a eu des abus mais une réponse globale et mondiale serait la bienvenue si on ne veut pas creuser un retard technologique (on peut faire déduire beaucoup de choses en se basant uniquement sur les visites et non les visiteurs).
  • Il existe une solution technique correcte : passer tout en server side et anonymiser la donnée pour l’envoyer à GA (attention le dépôt de cookie se fait encore côté client donc cela n’excluera pas le consentement)

En gros Google Analytics, c’est un peu Al Capone qui se fait choper car il a mal payé ses impôts, derrière cette démarche le poisson visé est bien plus gros.

Changer d’outil n’est pas juste changer un script. On parle ici de grosses sociétés qui ont sûrement du tracking avancé de comportement utilisateur avec des rapports câblés depuis des années et des utilisateurs non formés aux autres outils. Tout changer a un cout et prend du temps et non, ce n’est pas en un mois que cela peut se faire. À mon sens si on veut rentrer dans une mécanique vertueuse de protection de données personnelles alors il faut y mettre les moyens et répondre publiquement à des questions, ce que la CNIL ne fait pas aujourd’hui.

Mon dernier conseil pour ceux qui ne savent pas quoi faire : attendre quelques jours, installer un outil concurrent pour avoir au moins des stats d’audience et si ce n’est pas le cas vous pencher vraiment sur la problématique des consentements.

L’année 2022 risque d’être assez mouvementée sur ce point.

Hello 👋 Merci d'avoir lu !

On vous invite à ne manquer aucun article en vous inscrivant !

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.