Et si Google Analytics devenait hors-la-loi ?
- Actualité
Coup de tonnerre dans le landerneau du web français : Google Analytics, outil omniprésent utilisé par des millions de sites web pour mesurer leur audience et le comportement de leurs internautes, pourrait être déclaré incompatible avec les règles de protection des données européennes, mises en « musique » par le RGPD. Cette petite bombe (que les experts du web avaient senti venir depuis quelques mois déjà), a pris la forme d’un communiqué de la CNIL, l’autorité française en matière de respect des libertés informatiques, publié jeudi 10 février sur son site. Dans cet article, nous vous expliquons les tenants et les aboutissants de ce e-séisme et évoquons les solutions alternatives à Google Analytics…
La CNIL vs Google Analytics : résumé de la situation
C’est une décision qui pourrait faire date en matière de protection des données personnelles des internautes français (et européens). Jeudi 10 février, la Commission nationale de l’informatique et des libertés (CNIL) a publié un communiqué relatant la mise en demeure du gestionnaire d’un (gros) site Web français – dont le nom n’a pas été dévoilé – du fait de son utilisation de Google Analytics. En cause, un sérieux problème de fuites de données privées en direction des serveurs US.
Une action initiée par la CNIL autrichienne
À travers cette mise en demeure, la CNIL répercute au niveau français une action initiée par la DSB (son homologue autrichienne) le 13 janvier dernier. Celle-ci désignait nommément un site internet local portant sur le domaine de la santé, ne respectant pas le règlement général sur la protection des données (RGPD). La raison de cet « irrespect » ? Son usage de Google Analytics. En particulier parce que « malgré leur pseudonymisation, ces données pouvaient facilement être recombinées pour identifier individuellement des internautes, notamment par les services de renseignement américains ».
Or, il existe un arrêt de la Cour de Justice de l’Union Européenne, dit « arrêt Schrems II » du 16 juillet 2020 qui précise les modalités et conditions de transfert des données européennes en direction des pays tiers (les États-Unis essentiellement) et la nécessité de leur encadrement.
C’est en s’appuyant sur cet arrêt qu’une association autrichienne, la NOYB (dédiée à la défense de la vie privée sur internet) a alerté la CNIL et ses homologues européens concernant le non-respect des modalités définies par l’arrêt de la CJUE, en pointant notamment une centaine de responsables de sites européens (dont 6 gros sites web français). En clair, les conditions de transfert de données privées européennes en direction des USA ne garantissent pas le respect de la vie privée des personnes, avec une insuffisance de recours (juridictionnels notamment) de celles-ci eu égard au traitement de leurs données.
Un impact potentiel conséquent pour de très nombreux sites web français
Dans ce (déjà célèbre) communiqué publié sur son site jeudi 10 février, la CNIL rappelle donc en introduction une règle de base du fonctionnement de Google Analytics : chaque visiteur d’un site web (sur lequel est installée la fonctionnalité) se voit attribuer un identifiant unique qui, de même que toutes les données qui lui sont associées, sont transférés directement vers les serveurs d’Alphabet (maison mère de Google) aux USA. Concernant la France, la CNIL « constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité. »
Dans le prolongement du communiqué, on apprend que d’autres procédures ont été engagées par la CNIL à l’encontre de plusieurs autres gestionnaires de sites web bien connus, utilisant Google Analytics. Une trainée de poudre qui pourrait conduire à une déflagration d’ampleur : l’abandon pur et simple de l’utilisation de Google Analytics au profit d’autres outils de gestion de trafic, n’entraînant pas le transfert de données privées en dehors des frontières de l’Union Européenne. À noter que Facebook Connect est également dans le collimateur de l’UE.
Google en alerte, mais impuissant…
Pour Google, les conséquences potentielles d’une interdiction de Google Analytics par les 27 états membres de l’Union Européenne auraient des conséquences d’une ampleur sans précédent. Sur le plan financier bien sûr, mais pas seulement. L’entreprise californienne estime que la décision de la CJUE de juillet 2020 n’impose pas de « stopper tout mouvement de données » en raison de la « simple possibilité d’accès par un autre gouvernement ». Elle avance également avoir pris des mesures de sécurisation supplémentaires pour assurer une protection effective, eu égard aux standards (mesures en l’état insuffisantes pour les instances européennes) et appelle les états à s’entendre rapidement autour d’un texte encadrant les échanges de données entre l’UE et les Etats-Unis. Bien que des discussions soient en cours entre Washington et l’UE, les chances qu’elles débouchent sur une issue favorable sont faibles, car elles supposeraient un changement des lois américaines en matière de renseignement. Une gageure dans le contexte actuel…
Y a-t-il une vie possible sans Google Analytics ?
La réponse est OUI. Bien sûr.
Si la situation perdure, il est à prévoir que nombre d’administrateurs de sites vont réagir assez rapidement et rechercher une alternative à Google Analytics, histoire de ne pas se mettre en porte-à-faux des lois européennes sur la protection des données. Il est un fait que de par la puissance de Google et la praticité de son outil, la solution Google Analytics (la plus connue, la plus utilisée, très bien conçue au demeurant) s’imposait d’elle-même. Mais cette évidence ne tiendra plus si aucune solution n’est trouvée à court terme.
Notre alternative à Google Analytics : Matomo
Il existe de nombreuses solutions alternatives à Google Analytics, dont la CNIL elle-même a publié une liste exhaustive (cf paragraphe suivant). En ce qui nous concerne, WeArePublic n’a pas attendu ces derniers rebondissements pour préconiser l’utilisation d’un autre outil de mesure d’audience des sites web : matomo.org.
Une solution open-source qui se présente ouvertement comme une option de qualité :
- Elle assure la confidentialité des utilisateurs des sites sur lesquels elle est installée.
- Aucune source tierce n’interfère entre l’utilisateur du site web (le vôtre) et vos utilisateurs.
- Elle est déjà très bien déployée dans le monde avec plus de 1,4 million de sites web.
- Elle permet l’auto-hébergement de ses données : en clair, vous pouvez héberger vos datas sur votre propre serveur.
- Elle propose une interface mature, intuitive, personnalisable et performante.
Si vous souhaitez en savoir plus sur la solution proposée par matomo.org au titre d’alternative performante à Google Analytics, surtout n’hésitez pas à nous contacter.
D’autres solutions proposées par la CNIL
Outre Matomo, de nombreuses autres solutions existent pour pallier à un défaut de Google Analytics. On l’avoue, on ne les a pas toutes testées (loin de là…). Nous reproduisons donc la liste pour information.
- Analytics Suite Delta de AT Internet
- SmartProfile de Net Solution Partner (version 21)
- Wysistat Business de Wysistat (version 12.1)
- Piwik PRO Analytics Suite de Piwik PRO (version 15.2.0)
- Abla Analytics de Astra Porta (version 1.9)
- BEYABLE Analytics de BEYABLE (version 1.0)
- Etracker Analytics (Basic, Pro, Entreprise) la solution Retency Web Audience de Retency dans sa version 1.0
- Nonli (version 2.0)
- CS Digital de Contentsquare (version 10)
- Wizaly de Wizaly SAS (version 12)
- Compass de Marfeel Solutions (version 1.0)
- Statshop de Web2Roi (version 1.8)
- Eulerian de Eulerian Technologies (version 6)