Google Analytics et RGPD : comment être en conformité ?
Début 2022 et plus particulièrement en juin, la CNIL a officiellement estimé que la solution d’analyse de trafic de Google, Google Analytics, ne respectait pas le Règlement Général de la Protection des Données (RGPD). La CNIL française et ses équivalents européens considèrent en effet que le transfert de données vers les Etats-Unis est contraire à la législation.
Les sites web français ont comme consigne de ne plus utiliser Google Analytics pour analyser le trafic de leur site, sous peine de sanctions. Quelles sont alors les solutions pour obtenir les KPI nécessaires au suivi marketing de son site ?
Quelles conséquences pour les sites web ?
L’outil de Google envoie en effet des données personnelles vers les Etats-Unis, une situation considérée problématique pour les instances informatiques qui craignent la “possibilité d’accès des services de renseignements américains”, malgré les efforts de Google pour encadrer cet accès.
L’utilisation de Google Analytics par les sites web français est ainsi une violation des articles 44 et suivants du RGPD. La responsabilité incombe aux sites français de trouver une solution autre que Google Analytics, sous peine de sanctions. Des sites web comme Décathlon, Sephora ou Auchan ont d’ores et déjà fait l'objet de mises en demeure.
Les gestionnaires des sites ont un mois pour se mettre en conformité à la suite de ces démarches, appuyant concrètement la volonté de la CNIL de faire appliquer la loi.
La première solution : l’utilisation d’un proxy
Devant la complexité de la situation, les professionnels du web se creusent la tête pour continuer à utiliser Analytics malgré les restrictions. Or, selon la CNIL, la modification du paramétrage des conditions de traitement de l’adresse IP n’est pas une alternative suffisante. Il en va de même pour le chiffrement de l’identifiant généré par Analytics, solution n’offrant pas assez de garanties contre la réidentification des personnes concernées.
Le cœur du problème pour l’instance informatique est « le contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics. »
La CNIL recommande l’utilisation d’un proxy (ou serveur mandataire) pour casser le contact direct entre le terminal de l’internaute (mobile ou ordinateur) et les serveurs de Google, pour empêcher la réidentification.
Le processus d’installation du proxy est disponible sur le site de la CNIL, qui en résume toutes les étapes afin que la proxyfication soit efficace. Cependant, ce genre de démarche est complexe et longue à mettre en place pour qu’elle soit valable, du propre aveu de la CNIL : « La mise en œuvre des mesures décrites (...) peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels. »
Trouver des alternatives en conformité
L’autre solution, largement envisagée par les professionnels du web, est de trouver un ersatz de Google Analytics qui propose l’hébergement de ses données en Europe. C’est la solution que préconise la CNIL, qui liste dans sa FAQ les différents outils disponibles pour mesurer l’audience d’un site web.
Parmi ces solutions, Start-Up s’intéresse particulièrement à Matomo pour répondre aux besoins de ses clients. Matomo est une solution française, open source et qui s’impose comme une alternative éthique à Google Analytics. Les serveurs sécurisés de Matomo sont en Allemagne, pays où les sites Web doivent respecter l’une des législations les plus strictes au monde en matière de respect de la vie privée, le RGPD.
La solution est d’ores et déjà réputée et déjà très utilisée notamment par des entreprises de renom.
La CNIL recommande également aux outils de mesure d’audience de proposer des configurations simples pour permettre aux professionnels de collecter les données nécessaires. Matomo a l’avantage de contenir des fonctionnalités poussées et proches de Google Analytics, donc facile à prendre en main, avec une protection de la vie privée si efficace qu’une fois configurée, il est possible de l’utiliser sans avoir besoin de demander le consentement.