La CNIL a mis en demeure un éditeur de site français pour l’utilisation de Google Analytics, un outil qui enfreindrait l’article 44 du RGPD. La décision du régulateur français intervient dans la foulée de son homologue autrichien, ce qui présage de décisions similaires dans les autres contrées européennes. Quel impact pour les chargés de la LeadGen ?
Flashback : l’APD et l’affaire « NetDoktor »
Commençons par quelques éléments de contexte pour bien comprendre le timing de la sortie de la toute nouvelle mouture de Google Analytics.
Comme à son accoutumée, Google a patiemment jeté les bases d’un quasi-monopole sur l’analyse des données liées à la navigation. Aujourd’hui, 17 ans après sa sortie, Google Analytics accapare 75 % des parts de marché mondiales, loin devant Quantcast (6,79 %) et WordPress Stats (4,43 %). L’outil fournit des données obtenues grâce aux cookies pour analyser le comportement des internautes sur le site web (pages consultées, durée de visite, appareil utilisé, etc.). Pour les gestionnaires de site, Google Analytics permet une démarche d’amélioration continue pour adapter la stratégie au comportement des visiteurs.
Il y a quelques mois, l’association autrichienne None Of Your Business (NOYB), qui milite pour la protection de la vie privée, a déposé 101 plaintes contre plusieurs entreprises utilisant Google Analytics. Le 13 janvier 2022, l’autorité autrichienne de la protection des données (APD), équivalent de la CNIL en France, a rendu une décision très attendue dans le cadre de ces plaintes (affaire « NetDoktor », du nom du média spécialisé dans la santé et l’actualité médicale). Verdict : l’utilisation de Google Analytics constitue une violation de l’article 44 du RGPD.
« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale ».
L’institution gouvernementale autrichienne justifie sa décision par le transfert des données personnelles entre l’Europe et les Etats-Unis. « Ce transfert a été jugé illégal, car il n’y avait pas de niveau de protection adéquat pour les données personnelles transférées », précise Matthias Schmidl, directeur adjoint de l’APD. Cette décision a eu des répercussions mondiales, avec une décision similaire dans l’Hexagone moins d’un mois plus tard.
La CNIL, dans la foulée de son homologue autrichienne
Le 10 février 2022, la CNIL a mis en demeure un gestionnaire de site web de « se mettre en conformité avec les règles régissant le transfert des données ». Là encore, c’est le transfert des données vers les serveurs américains de Google Analytics qui pose problème, l’autorité de régulation estimant que « l’anonymisation des datas est insuffisante » au pays de l’Oncle Sam. Comme souvent, la CNIL n’a pas divulgué l’identité de l’ « accusé », mais journaldunet.com croit savoir qu’il s’agit d’Auchan.
Comme les 101 plaintes sont identiques et que les autorités de régulation européennes travaillent de concert, des décisions similaires sont attendues dans les prochaines semaines, mettant à mal l’utilisation de Google Analytics dans un contexte Data déjà tendu. Selon Romain Robert de l’association NOYB, deux nouveaux gestionnaires de sites web français auraient été mis en demeure pour des causes similaires. En France, les plaintes NOYB concernent Auchan, Sephora et Décathlon. Les deux nouvelles mises en demeure pourraient donc concerner les deux dernières entreprises.
Quelles conséquences pour les spécialistes de la LeadGen ?
La question du transfert des données d’Europe vers les Etats-Unis par des outils et prestataires de la tech n’a jamais véritablement été discutée. Certains parlent de flou juridique, d’autres de « tolérance ». Cette incertitude a donc été levée par la CNIL qui ne laisse désormais aucune place au doute : dans sa version actuelle, Google Analytics n’est pas conforme au RGPD. Plus largement, les autorités de régulation européennes devraient passer au crible les outils induisant des transferts de données vers les Etats-Unis, y compris les solutions de Cloud Computing. C’est sans doute pour cette raison que Mark Zuckerberg a récemment menacé de fermer Meta (Facebook et Instagram) en Europe.
Plutôt que de mettre en conformité son outil analytique, Google a surpris son monde en annonçant l’abandon d’Universal Analytics (dernière version de Google Analytics) au profit d’une nouvelle version de rupture sobrement baptisée Google Analytics 4. Comme l’explique journaldunet.com, cette nouvelle version utilise une technologie qui permet d’ « anonymiser l’adresse IP de l’internaute sans l’héberger au préalable en dehors de l’Union européenne ».
Google explique par ailleurs que Google Analytics ne stockera pas les adresses IP. Les éditeurs de sites web français et européens sont donc appelés à faire la transition vers Google Analytics 4… sans toutefois avoir des garanties sur la conformité de cette nouvelle mouture au RGPD. Les spécialistes de la LeadGen devront prévoir un temps d’adaptation et de tâtonnement, dans la mesure ou Google Analytics constitue une véritable rupture avec Universal Analytics à la fois au niveau des fonctionnalités, de la terminologie et de l’interface utilisateur.
Pour aller plus loin, vous pouvez consulter notre échange avec Julien Dugaret, CEO et cofondateur de Beyable qui propose Beyable Analytics, une alternative sans consentement à Google Analytics.
