Suite à plusieurs plaintes lancées par le collectif NOYB, dans un verdict publié jeudi dernier, la CNIL juge illégal l’utilisation de Google Analytics, ce dernier ne respectant pas l’article 44 du GDPR et les suivants, sur les transferts de données hors EU.
En effet, Google est soumis aux USA au Patriot Act qui rentre en totale contradiction avec le RGPD, que chaque acteur traitant des données de ressortissants européens se doit de respecter.
Vous connaissez ma passion pour les sujets de tracking d’une part, et de règlementation des données d’autre part, alors imaginez lorsque l’actualité parle des deux ! Cette fois, je vous donne des pistes concrètes pour vous dépatouiller sur cette problématique qui secoue le monde du web et de la data.
C’est quoi déjà Google Analytics ?
Google Analytics est un outil de mesure d’audience, c’est-à-dire un outil qui mesure le trafic de votre site internet ou de votre applicatif. Ainsi, l’outil vous permet de connaitre le nombre de visites de vos pages, la fréquence des visites, la géolocalisation de vos visiteurs, etc… A partir de ce type d’outil, vous pouvez obtenir des informations cruciales pour améliorer votre plateforme et sa visibilité, et éventuellement utiliser ces données à des fins marketing / publicitaires.
Ok, en quoi ça me concerne ?
La plainte vise les sites et non l’outil, et la CNIL a laissé un mois aux sites incriminés pour trouver des solutions alternatives. L’association NOYB a fait une liste des sites qui font l’objet des plaintes et on y retrouver de grands sites français. Évidemment, ce n’est pas parce que vous n’êtes pas dans cette liste que vous n’êtes pas concerné. Il suffirait d’une plainte d’un utilisateur pour que vous soyez vous aussi mis en demeure.
Vous avez donc de grandes chances d’être concerné si :
- Vous avez un site internet ou une application mobile
- Et vous faites remonter des données d’usages (nombre de visites, etc…)
- Pire, vous utilisez ces données à des fins de ciblage marketing
Pour le savoir, c’est très simple :
- Soit vous savez vérifier vous-même les outils que vous utilisez pour vos sites ou applicatifs
- Soit vous ne le savez pas et vous pouvez utiliser cet outil pour le vérifier. Si dans la description vous voyez un cookie Google Analytics, c’est que vous êtes concerné.
Et donc si vous êtes concerné, vous n’avez donc plus le droit d’utiliser ces outils et devez les retirer rapidement, la CNIL ayant laissé 30 jours aux contrevenants.
Mais la CNIL va plus loin, si vous n’utilisez pas Google Analytics, vous devez vous assurer que les outils que vous utilisez respectent eux-aussi le RGPD vis-à-vis des transferts hors EU. En bref, vous devez bannir tous les outils qui envoient des données aux USA. Cela concerne donc également d’autres outils tels que Google Ads, Firebase, Google Tag Manager, etc… Et probablement un certain nombre d’autres outils américains.
Je suis vraiment responsable ? C’est pas Google ?
Malheureusement oui, Google n’est pas visé, c’est le gestionnaire du site ou de l’applicatif qui est responsable de la conformité des outils qu’il utilise.
« les éditeurs sont responsables et redevables de prendre les mesures nécessaires pour éviter que les données à caractère personnel collectées par le biais de leur site web et/ou application ne soient transférées en dehors de l’EEE sans mécanismes de transfert international adéquats ».
– CNIL
C’est super, on me dit ce que je ne peux plus faire. Mais que dois-je faire du coup ?
Et bien vous devez commencer à réfléchir à l’utilisation d’un nouvel outil, qui n’envoie pas ses données aux USA, et pour cela, déjà comprendre quel est votre besoin :
- Avez-vous besoin de statistiques d’audience simples ? Comme le volume de visites, la localisation des visites, les pages les plus vues, la rétention, etc…
- Avez-vous besoin de statistiques complexes ? Tunnels de conversion, ciblage marketing, campagne de pubs, affiliation, etc…
Selon les cas, les obligations légales ne sont pas les mêmes, et les tarifs non plus.
Mes besoins sont simples, vers quoi dois-je me diriger ?
Si vous avez seulement besoin de statistiques de trafic, alors tout comme la CNIL, je vous conseille de vous diriger vers des outils français qui gèrent l’exemption du consentement. En effet, sous certaines conditions, la CNIL permet aux administrateurs de certains outils de ne pas avoir besoin de demander un consentement aux utilisateurs de leur site web ou applicatif. Vous trouverez ici la liste des critères pour assurer cette exemption, et même une liste d’outils jugés conformes par la CNIL.
Avec ce genre de solution, vous ferez d’une pierre deux coups : non seulement vous êtes conforme vis-à-vis des transferts hors EU mais en plus vous maximiserez la valeur de vos statistiques, vos clients n’ayant pas d’autre choix que d’accepter la web analyse. Attention, l’exemption ne vous allège pas de votre devoir d’information, via votre politique de confidentialité.
En revanche, les données collectées sont anonymes, et vous n’avez pas le droit de les utiliser à des fins de ciblage marketing. Vous ne pouvez les utiliser qu’à des fins de statistiques et d’amélioration de votre plateforme.
Il existe de nombreux comparatifs d’outils de web analyse, je vous renvoie donc vers eux, en prenant soin d’exclure ceux qui ont des données envoyées aux USA.
Cependant, je peux tout de même vous faire part de mes trois coups de cœur, des solutions qui respectent la vie privée des utilisateurs jusqu’au bout et n’exigent aucun consentement car ils ne déposent aucun cookie :
👉 Plausible
Plausible est un outil très épuré dont l’interface m’a beaucoup plu. Cette dernière est très simple et permettra à n’importe quel novice de rapidement prendre ses marques dans le web analyse. Il ne nécessite pas de consentement et donc de bandeau cookies, car il n’en dépose pas. Évidemment les données sont hébergées en Union Européenne. Il commence avec un forfait à 9€/mois pour 10 000 évènements.
👉 Insights
Insights est une alternative moins chère. Comme les autres outils présentés, pas de cookie, pas de consentement, pas de bannière. L’outil est développé par deux développeurs passionnés, à Vienne, donc en UE. Étant un peu moins poussé en terme d’analyse, il est gratuit de jusqu’à 3 000 évènements par mois, puis commence avec des abonnements graduels, dont le premier est 12€/mois jusqu’à 100 000 évènements.
👉 Matomo
Matomo est une alternative directe de Google Analytics. Cet outil permet de récupérer votre historique Google Analytics en plus de proposer des services similaires. En revanche, il vous faudra configurer dans l’outil les paramètres nécessaires pour être conforme et fonctionner sans cookies. Cet outil est puissant et permet de ne pas dépayser les habitués de Google Analytics.
Ce que j’apprécie particulièrement, c’est sa gratuité si vous installez vous-même la solution sur votre propre serveur. En revanche, si vous choisissez la solution cloud, hébergée en EU, l’offre est unique à 19€/mois.
Il existe cependant des alternatives, comme Kamatera, qui pour 4€/mois vous permet d’avoir un serveur cloud avec Matomo installé. N’oubliez pas de choisir un serveur en EU !
Finalement, mes besoins sont plus larges, je veux aussi pouvoir utiliser ces données pour du marketing
Dans ce genre de cas, vous ne serez pas exempté du consentement. C’est-à-dire que vous aurez l’obligation de demander le consentement à vos utilisateurs, avant de commencer à les traquer, via les fameux « cookie wall ». Il va sans dire que dans ce genre de cas, vous n’aurez pas le tracking de l’ensemble de vos utilisateurs, un certain nombre refusant systématiquement via le « cookie wall ».
Il vous faudra alors vous diriger vers des outils plus chers, permettant de mettre en place ce type de fonctionnalités (acquisition, ciblage, campagnes de publicité…).
Encore une fois, il existe de nombreux comparatifs sur le web, mon coup de cœur étant AT Internet (Analytic suite II) le leader français.
En effet, d’expérience dans le monde de la banque, c’est l’outil qui sort vainqueur des différents benchmarks, notamment de par sa certification CNIL, mais aussi parce que c’est une solution française qui héberge ses données en France. Cependant, démarrant à partir de 350€ par mois, c’est un outil très puissant mais pas donné.
Dois-je vraiment changer maintenant ? C’est lourd et ça coûte cher
Je ne peux pas répondre pour vous à cette question. Si aujourd’hui vous n’avez pas été mis en demeure, c’est de la gestion des risques. Vous pouvez effectivement retarder cette échéance, en vous tenant prêt à changer le jour où vous serez directement pointé du doigt, ou parier sur une mise à jour incertaine de Google sur ces sujets.
Et selon la taille de votre activité, les impacts ne sont pas les mêmes.
Dans tous les cas, cela ne vous dispense pas d’avoir un plan robuste, prêt à être appliqué rapidement pour migrer vers une solution conforme.