Depuis plus d’un an, le marché s’interroge : est-ce que je dois garder Google Analytics comme solution web analytics ? Est-ce que Google Analytics est légal ? Est-ce que je risque une amende en utilisant Google Analytics ?
Mais dans l’idée, le sujet n’était pas Google Analytics en lui même, qui se retrouvait à être le visage du problème, le vilain petit canard. Alors qu’est-ce qui posait problème : le transfert des données entre l’Union européenne et les États-Unis.
Bonne nouvelle : le 10 juillet, la Commission européenne a adopté le nouveau cadre de protection des données, qui ouvre la voie au transfert de données entre l'Europe et les États-Unis. Mais est-ce qu’il s’agit réellement de la fin des discussions ? Nous vous proposons un article vous permettant de comprendre les éléments nécessaires pour déterminer de la légalité de Google Analytics : transfert des données, qualité des données et confidentialité de la donnée.
Sommaire :
Malgré la mise en place de ce nouvel accord (Data Protection Framework, ou DPF), des incertitudes subsistent quant à la conformité de celui-ci, remettant en question la légalité de Google Analytics. En effet, une incertitude demeure cependant quant à la survie de cette décision, celle-ci ayant déjà fait l’objet d’un recours à des fins d’annulation devant le Tribunal de Justice de l’Union européenne (TJUE). Par qui ?
NOYB (c’est toujours cette agence sur ce front ! 🤓) conteste l'accord, suggérant qu'il reproduit en grande partie l'accord précédent. Les combats NOYB vs Google Analytics se sont pour l’instant soldés par un 3 à 0 pour cette organisation de protection de la vie privée.
En cas de succès de cette contestation, la légalité de Google Analytics et du transfert de données vers les États-Unis pourrait être remise en cause, une nouvelle fois !
De plus, les organismes de protection des données comme la CNIL pourrait découvrir d'autres éléments compromettants pour la légalité de Google Analytics. Chez Smart Bees, on recommande généralement un dual set-up. On propose aux organisations d'investir dans des solutions de collecte qui peuvent se mettre en conformité avec la réglementation de la CNIL : Piwik Pro, Piano Analytics, Matomo par exemple. Tout en gardant, GA4, qui reste gratuit est un outil pertinent dans l’écosystème. De cette manière, vous êtes prêts en cas de contrôle. Nous avons une règle : atténuer les risques et la nécessité de vous mettre en conformité en 1 mois seulement : anticiper !
Voici le lien des solutions pour les outils de mesure d'audience exemptés par la CNIL 👈
Bien que le transfert de données vers les États-Unis soit désormais légal, même si challengé comme nous l’avons vu précédemment, toutes les entreprises doivent documenter de manière exhaustive les données personnelles traitées, collectées et transférées.
Il est important d’avoir une bonne vision des données envoyées aux différentes plateformes. Notre conseil : essayez de tenir un document regroupant sur les éléments que vous envoyez vers les plateformes. Identifiez et retirer les variables ou données de la liste publiée par la CNIL qui sont classés comme "identifiants de données personnelles" (PII), par exemple l'adresse IP, mail etc.
Attention aux différents risques d’amende si vous ne respectez pas ces éléments. Les entreprises, comme vous sans doute, qui collectent des données via Google Analytics (ou d'autres outils d'analyse) et/ou qui utilisent des données pour faire du marketing et du retargeting (audience etc.), par exemple via leur site web, e-mail, SMS réseaux sociaux sont clairement identifiés comme des cibles pour la CNIL si le respect en matière de protection des données n’est pas établi.
On ne le redit jamais assez mais vous risquez de grosses amendes si vous ne démontrez pas votre conformité aux règles du RGPD !
L'accord "EU-U.S. Data Privacy Framework" ne permet pas de s’exempter du consentement utilisateur pour une solution comme Google Analytics 4.
Ainsi, si vous utilisez GA4, vous subirez toujours un double impact sur la qualité de votre donnée :
On parle aujourd'hui d’un marketing sans cookie. Chez Smart Bees, on n'y croit pas trop (😎) déjà car il faut différencier les cookies tiers des cookies first-party. Et d’après ce qu’on voit le marché se dirige vers un contournement de ces mises à jour via la mise en place des cookies propriétaires.
Pour autant, pour faire en sorte d’avoir des données de qualité, il est pertinent d’envisager le Server side. Celui-ci va permettre de collecter les données consenties, passer outre certains adblockers mais également permettre un re-travail de la donnée côté serveur : permettant ainsi de répondre à un enjeu de qualité de la donnée mais également de protection de la donnée : anonymisation des adresses IP par exemple.
Même si le sujet n’est plus aussi chaud qu’auparavant, de nombreuses entreprises et sites web restent sur le qui-vive concernant l’implémentation et l’utilisation d’une solution comme Google Analytics 4.
Oui nous avons maintenant une adoption de l'accord UE-États-Unis sur la confidentialité des données, mais, pour combien de temps ? De plus, cet accord ne résout que la question du transfert des données. Pour répondre à ce triple enjeu : Transfert de données, protection des données et Qualité des données, Smart Bees précosine une solution : le server-side ! Celui-ci peut être un axe stratégique pour que GA4 réponde aux différents enjeux évoqués ci-dessus.
Cependant, si vos équipes juridiques veulent prendre le moins de risque possible, envisagez la mise en place d’un outil analytics accepté par la CNIL. Si vous avez des questions, n’hésitez pas à nous contacter chez Smart Bees.