Google Analytics et RGPD : quels enjeux pour les mois à venir ?

L’histoire du leader de la web analyse

Google Analytics a vu le jour en 2005 après le rachat de Urchin Software Corporation par la firme américaine. Suite à cette acquisition, la solution a été rendue populaire auprès du grand public grâce à sa formule gratuite pour les sites ayant un trafic inférieur à dix millions de visites par mois.

Le mois d’octobre 2012 signe le lancement d’Universal Analytics, qui va ajouter des composantes à l’analyse proposée, permettant ainsi la prise en compte dans ses calculs des nouveaux usages qui seront capitaux pour la suite : les téléphones et objets connectés.

Cette solution a été la référence jusqu’au 14 novembre 2020, la date de la sortie de Google Analytics 4.

Là ou Universal Analytics se basait sur les sessions pour effectuer ses mesures, GA4 va maintenant se baser sur ce qui est appelé « un évènement », c’est à dire toute interaction que peut avoir un utilisateur avec un site ou une application. Cette décision survient notamment suite au changement de comportement des utilisateurs, dont les habitudes changent avec des parcours de navigation, qui passent des sites dits « classiques » aux TV connectées en passant, par exemple, par les consoles de jeux vidéo.

Le 16 mars 2022 Google a annoncé la fin de sa solution Universal Analytics. Les utilisateurs doivent basculer leurs comptes vers Google Analytics 4 d’ici le 1er juillet 2023.

Pour la suite payante de la solution, Google Analytics 360, le délai de transition est étendu jusqu’au 1er octobre 2023.

Universal Analytics et RGPD, une cohabitation difficile

Historiquement, Google Analytics a toujours été controversé en matière de protection des données de par la nature de son fonctionnement. En effet, la récolte des comportements d’utilisation se fait en traçant l’adresse IP de l’utilisateur. Cette adresse IP étant associée à la position géographique (approximative) de l’utilisateur, cela rentre directement en conflit avec les principes même du RGPD.

Le 25 mai 2018, le nouveau règlement européen sur la protection des données est entré en application, ce qui a notamment permis aux utilisateurs d’autoriser ou non l’utilisation des cookies permettant à Google Analytics de tracer leurs comportements.

Suite à l’entrée en vigueur de cette loi, Google a décidé d’ajouter une nouvelle fonctionnalité. Le 3 septembre 2020, c’est le lancement du « consent mode » sur plusieurs outils Google :

• Retargeting Ads
• Conversions Ads
• Floodlights
• Google Analytics

Pour faire simple, ce mode a pour but de recueillir les données de comportements utilisateurs, en modifiant la méthode de collecte des données, en fonction de l’acceptation ou non des cookies par l’utilisateur. Ce mode permet de se conformer partiellement aux exigences RGPD.

Les problématiques avec le RGPD restent bien réelles puisque le 13 janvier 2022, l’autorité autrichienne de protection des données personnelles, l’équivalent de la CNIL en France, a décrété qu’un site portant sur la santé ne sera plus conforme au règlement, s’il utilise Google Analytics. En effet, dès lors qu’un utilisateur européen visite le site, ses données sont transférées sur des serveurs américains.

Sur cette même base argumentaire, la CNIL déclare le 10 février 2022 la non-conformité au règlement RGPD des sites qui ont recours à Google Analytics.

Un seul moyen d’utiliser Google Analytics de façon légale est énoncé par la CNIL en juin 2022. Il faut utiliser un serveur de proxyfication (Proxy) avec un hachage des données. Le système de hachage va permettre à la donnée d’avoir une signature numérique sans pouvoir remonter jusqu’à la donnée initiale, ’objectif de cette procédure étant d’éviter tout envoi de données non anonymisées sur les serveurs américains.

Google Analytics 4 : vers la mise en conformité ?

Suite à la mise en lumière de l’absence de conformité aux normes RGPD, Google n’a pas eu d’autres choix que de tendre vers des outils qui respecteraient les données personnelles traitées.

Le géant américain a promis de rentrer en conformité sur plusieurs sujets grâce à sa nouvelle version :

• Le consentement du traitement et de la collecte des données : ce sujet concerne la mise en place de cookies sur les sites utilisant GA4. Comme vu précédemment, le RGPD prévoit de laisser le choix à l’individu d’accepter ou non les cookies essentiels au tracking de ses données et de son comportement.
• L’anonymisation des adresses IP : il est maintenant possible d’anonymiser automatiquement les adresses IP des utilisateurs. Comme évoqué plus haut dans cet article, cette configuration va permettre de ne plus faire de lien entre la donnée stockée et envoyée, et l’utilisateur.
• Le temps de conservation des données : la durée maximale étant fixée à 14 mois, contre 64 mois pour son prédécesseur, la durée de détention des données est paramétrable. Attention, dans tous les cas, quel que soit la durée choisie, il faudra pouvoir justifier des raisons de cette durée et du caractère essentiel des données stockées pour rester dans la légalité.
• La suppression des données relatives à un utilisateur : comme prévu par le RGPD et la CNIL, si un utilisateur formule la demande de suppression de ses données, un processus d’effacement de ses informations est prévu.

Malgré ces efforts de mise en conformité, la CNIL et, plus globalement les acteurs majeurs européens en matière de protection des données, ont constaté que pour être anonymisées, ces données transitaient toujours par des serveurs américains, ce qui ne rentre pas dans la légalité.

De plus, certains outils complémentaires à Analytics n’ont pas fait d’efforts de mise en conformité, comme Google AdWords. L’utilisation conjointe de ces deux outils rendrait les efforts de mise en conformité du premier inefficaces.

L’utilisation de Google Analytics 4 n’est donc pas formellement interdite, mais elle comporte des failles qui peuvent faire l’objet d’une mise en demeure par la CNIL.

Cette mise en demeure laisse un mois à l’utilisateur de GA4 pour adopter l’une des deux solutions suivantes :

• Désinstaller GA4 et le remplacer par un outil conforme à la RGPD. Il faut prévoir un chantier de migration des données et de paramétrage pour pouvoir se rapprocher de la collecte et de l’analyse de données qui étaient faites précédemment.
• Mise en conformité de Google Analytics 4 : cette solution revient au paramétrage que nous avons évoqué précédemment, à savoir passer par un nouveau serveur, qui va permettre de traiter les données personnelles conformément à ce qui est prévu par le RGPD.

En somme, si l’utilisation de la nouvelle version de Google Analytics sur un site ne coche pas toutes les cases du RGPD, il est préférable de prévoir une stratégie de back-up en amont pour éviter de devoir mettre en place un projet de restructuration avec des délais serrés et qui peuvent être couteux.

Dans l’attente d’avoir une suite Google totalement en phase avec le RGPD, des alternatives existent. Elles vous permettent d’effectuer de la web analyse à de bons niveaux. Elles sont par contre le plus souvent en accès Freemium, comme c’est le cas par exemple pour Matomo ou encore en version uniquement payante pour AT Internet.

Palmer Consulting a été amené à travailler avec bon nombre de solutions du marché, notamment les deux citées précédemment. Cette connaissance des outils de substitution nous permet de nous positionner plus efficacement auprès des entreprises qui souhaitent s’assurer d’une transition efficace, se conformer dès à présent avec les directives européennes et ainsi anticiper tous potentiels risques de mise en demeure de la CNIL.

Des changements sont certainement à prévoir dans les prochains mois, si la firme américaine ne veut pas prendre le risque de perdre une partie de son marché européen.

Erwan Chupeau