En France et en Europe, tous les utilisateurs de Google Analytics suivent cette affaire de très près.

La CNIL a récemment mis en demeure des sites d’enseignes nationales sur l’utilisation de Google Analytics et le non-respect du Règlement général sur la protection personnelle (le fameux RGPD), qui est le texte de loi de référence de l’Union européenne en matière de protection des données personnelles.

Après avoir considéré que l’usage de la solution d’analyse par un site web représentait une violation des articles 44 et suivants du RGPD, la CNIL a donc contraint ce gestionnaire de site internet français, de cesser l’utilisation de GA sous un mois ou de se mettre en conformité.

Que ce soit clair : ce n’est pas tant le fait que les données soient recueillies, mais bien le fait qu’elles soient transmises à Google, sur des bases de données aux États-Unis et non en Europe. D’où la problématique, la non conformité et le non respect du RGDP.

Si vous utilisez Google Analytics, il est tant de faire le point sur son usage et sur le respect du RGPD.

Oui, vous pouvez estimer que cette décision n’a pas (encore) d’impact sur votre site, puisque vous n’avez pas reçu de mise en demeure. Mais cela ne veut pas dire que votre usage est légal. Il suffirait qu’une personne physique ou morale porte plainte auprès de la CNIL et qu’elle s’en saisisse pour que vous vous retrouviez dans la même situation que les entreprises visées ces actions.

Avant de s’intéresser à d’autres logiciels de suivi d’audience et aux alternatives à Google Analytics (Matomo, AT Internet, Abla Analytics, Piwik PRO… des outils de web analyse sensibles à la protection de la vie privée), des actions sont nécessaires pour réduire les risques, à la fois pour le suivi de vos performances et la légalité de vos traitements.

Ne pas avoir de gestion de cookies est vraiment risqué désormais, d’autant s’il n’y a aucun genre de disclaimer ou d’avertissement dans vos mentions légales. Le site est moins conforme à la loi que le moindre blog… Idem pour les formulaires s’il n’y a ni alerte sur les données, ni politique de confidentialité, et cela concerne aussi le recrutement.

Il vous faut donc veillez bien évidemment à ce que le traitement de données soit conforme au niveau RGPD. Vérifier sa configuration et minimiser la récolte de données.
Il est également conseillé de vérifier la configuration de vos propriétés et vues Google Analytics pour réaliser un état des lieux des données que vous transmettez. Vous pourrez ainsi minimiser la récolte si des données superflues sont exploitées. Vous devriez ensuite étendre votre analyse à l’ensemble des outils que vous utilisez. Le RGPD consacre ainsi le principe de minimisation. Il prévoit que “les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”.
Mais encore faut-il savoir et pouvoir le faire. Ce qui peut s’avérer être un vrai casse-tête, les fonctionnalités de l’outil Analytics ne le permettant pas, pour le moment.

Il faut alors attendre le retour de Google :

Si Google n’est pas visé directement, on peut s’attendre à une réponse de leur part, tant la portée de cette décision peut impacter ses clients. Google a ainsi publié ce communiqué suite aux premières actions autrichiennes. Rappelant que « [la décision] ne concerne qu’un seul éditeur et son cas particulier », le géant américain a concédé être conscient que « les autres clients Google Analytics peuvent s’inquiéter de son extension à tous les fournisseurs de données analytiques aux États-Unis, et donc aux transferts de données sur les utilisateurs entre l’UE et les États-Unis ».

Google souhaite alors ajouter des paramètres pour permettre aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourront ainsi continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité. Google devrait à nouveau communiquer “dans les semaines à venir” à ce sujet. Les professionnels du web l’attendent avec impatience. Affaire à suivre…

_________________________________________

Mise à jour du 25 mars 2022 :

L’Europe et les USA trouvent un accord pour le transfert de données : ce qu’il faut savoir

Pour en savoir plus…

_________________________________________

Vous souhaitez un conseil, un suivi ou vous avez un projet digital à lancer ? Contactez l’équipe d’experts en communication Freedly.

Ou encore, pour en savoir plus sur le sujet, un article très intéressant sur le Journal du Net : https://www.journaldunet.com/solutions/analytics/1509371-interdiction-de-google-analytics-par-la-cnil-quelles-consequences-pour-les-entreprises-francaises/