La CNIL confirme l’illégalité de Google Analytics : 1 mois pour changer d’outil !

Publié le par Baptiste Soleil et Noémie Bourdon.

Mots-clés associés : RGPD et Services cloud.

Le 10 février 2022, la CNIL annonce avoir engagé des procédures de mise en demeure pour plusieurs gestionnaires de sites utilisant Google Analytics. Les sites concernés ont 1 mois pour supprimer l’outil du géant américain ou le remplacer par un outil conforme au RGPD.

Au-delà des sites mis en demeure, c’est bien l’ensemble des sites utilisant Google Analytics qui sont concernés par la décision ! Et attention : la CNIL n’accordera sans doute pas ce délai d’1 mois aux prochains sites contrôlés, qu’elle pourra sanctionner sans mise en demeure.

Empreinte Digitale revient pour vous sur cette décision aux conséquences inédites, puisque l’ensemble des sites web utilisant aujourd’hui Google Analytics va devoir l’abandonner en urgence.

Suite à la décision d’adéquation de la Commission prise le 10 juillet 2023, les transferts vers les États-Unis sont autorisés. Toutefois, cette décision pourrait bien être annulée par la CJUE, comme l’ont été les deux précédents accords. Le CEPD, le Parlement européen et les associations de défense de la vie privée ont déjà émis de nombreuses réserves.

Google Analytics illégal : pourquoi ?

Nous vous l’expliquions dans notre article sur la protection des données et gestion des cookies : le rejet du Privacy Shield par la CJUE dans son arrêt Schrems II rendait illégaux les transferts de données vers les États-Unis.

Max Schrems et son association NOYB (None Of Your Business, c’est-à-dire « ça ne vous regarde pas ») ne se sont pas arrêtés là puisqu’ils n’ont engagé pas moins de 101 actions dans les 30 États concernés par le RGPD, afin de tirer les conséquences de cette illégalité. Résultat : comme nous le relations dans un récent article, l’autorité autrichienne (DSB) s’est positionnée en décembre 2021 sur l’interdiction de Google Analytics.

Décision confirmée en France, puisque la CNIL a communiqué officiellement sur plusieurs mises en demeure à l’encontre de gestionnaires de sites utilisant Google Analytics.

Le transfert de données [vers les États-Unis, NDLR] ne peut avoir lieu que si des garanties appropriées sont prévues (…) or la CNIL a constaté que ce n’était pas le cas. 

Quelles conséquences ?

Cette décision, dans la suite logique de la jurisprudence récente, aura de lourdes conséquences à court et long terme.

A court terme, les éditeurs de site web n’ont pas d’autre choix que de changer de solution d’analyse d’audience et de supprimer les transferts vers les États-Unis. Afin de s’assurer du respect de l’ensemble de la réglementation (RGPD, loi informatique et libertés, lignes directrices et recommandation de la CNIL et du CEPD…), auditer la conformité de son sites web est essentiel, d’autant que les sanctions ont été plus importantes que jamais en 2021.

A long terme, deux options sont envisageables, selon Max Schrems :

 Soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et l’UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain – et non de quiconque en Europe. 

Matomo : une alternative Simple et efficace

Nous vous présentions récemment Matomo, outil d’analyse d’audience complet, libre et conforme au RGPD. Matomo fait d’ailleurs partie des solutions auditées et validées par la CNIL en septembre dernier, puisqu’elle permet de générer des données statistiques anonymes (et de bénéficier de l’exemption de consentement !).

Dans son communiqué confirmant l’illégalité de Google Analytics, la CNIL recommande l’utilisation de ces solutions en remplacement de la solution américaine, à condition que l’hébergement soit réalisée en France ou dans un pays de l’Union Européenne bien-sûr.

De nombreux organismes, publics comme privés, ont déjà confié à Empreinte Digitale le déploiement et l’hébergement de cette solution conforme au RGPD, comme le service d’Etat PIX, l’AFNOR et ses 37 sites (dont 4 sites e-commerce) et les services d’archives de la ville d’Auxerre.

Retour d’expérience de la ville d’Auxerre

La réglementation sur la protection des données concerne l’ensemble des organisations, qu’elles soient privées ou publiques. La recommandation par la CNIL de Matomo comme solution conforme au RGPD était un élément déterminant pour Virginie Rousselet, responsable du service des Archives de la ville d’Auxerre :

 Nous étions très bien informés sur les obligations du RGPD, notamment car j’ai été la Déléguée à la Protection des Données de la ville d’Auxerre. Je connaissais donc les risques liés à Google Analytics et particulièrement sa dimension pénalisante pour la vie privée. C’est pour cela qu’en lançant le marché des archives, nous avons souhaité passer à Matomo. 

Une solution efficiente pour une utilisation classique

Hébergé sur nos serveurs localisés en France (Rennes, Tours), Matomo est aujourd’hui en place sur le site web des archives de la ville d’Auxerre.

Un choix que ne regrette pas Jean-François Bissonnet, archiviste :  L’interface de Matomo est simple et claire, même si je n’avais vu Google Analytics que partiellement, la présentation semble plus rationnelle.

Surtout, avec Matomo, le service des archives auxerroises peut maintenant analyser son audience dans le respect du RGPD. Un plus pour mieux connaître son public, comme le souligne Jean-François Bissonnet :

 Nos attentes sont aujourd’hui satisfaites : nous voyons les fréquentations sur le site des archives et surtout, cela répond à notre besoin de mieux connaître notre public. Maintenant, deux profils se dessinent : un public averti habitué aux archives (généalogistes, passionnés), nous avons une douzaine de visiteurs par jour mais avec des volumes de consultation importants. Le deuxième profil type va être lié au partage de publications sur Facebook par la ville d’Auxerre, nous avons parfois des pics de fréquentation avec des internautes aux profils différents.

Grâce à Matomo, le service des archives a d’ailleurs identifié plusieurs pistes pour optimiser son site web : « Matomo nous a permis de déceler certaines problématiques liées à des formulaires. En voyant les termes de recherche utilisés, nous avons également identifié des lacunes sur notre site que nous allons pouvoir améliorer. »

Une prise en main aisée et la possibilité de se former

Selon l’archiviste, Matomo est simple à prendre en main :

 Les points forts de la solution sont la facilité de consultation du parcours des visiteurs avec la possibilité d’accéder simplement aux profils des internautes. L’outil est relativement facile à prendre en main, je l’utilise principalement pour consulter les statistiques sur une période donnée. 

Jean-François Bissonnet précise cependant qu’un temps de découverte et peut-être de formation à l’outil sur certains points précis peut se révéler utile. Chez Empreinte Digitale, nous travaillons avec Ronan Chardonneau, maître de conférences en Marketing Digital et formateur Matomo. Monter en compétences sur Matomo permet d’utiliser des fonctionnalités plus pointues de la solution, telles que le parcours utilisateur, le tag manager ou encore la console SEO.

Avec l’interdiction de Google Analytics, n’attendez plus pour faire auditer vos sites et passer à Matomo !

Photo par Lukas Blazek sur Unsplash

À propos des auteurs

Baptiste Soleil

DPO certifié
Consultant en protection des données

Noémie Bourdon

Chargée de communication et marketing