Après avoir lu cet article, les problématiques légales actuelles liées à l’usage de Google Analytics n’auront plus de secret pour vous.

Vous serez directement en mesure de mettre en conformité votre outil pour maintenir le service !‌

Quel est le contexte actuel ?

les 3 problématiques liées à l'usage de Google Analytics

L’usage de Google Analytics engendre 3 problématiques : deux concernent la conformité (ePrivacy et RGPD) et une impacte la performance de l’outil :

Problématique n°1 : Le dépôt des cookies GA sans consentement

Les cookies GA (Universal Analytics ou GA4) ne sont pas des cookies fonctionnels et ils ne sont pas non plus exemptés de consentement car ils ne répondent pas aux critères d’exemption étudiés par la CNIL pour les outils de mesures.

Ils sont par conséquent soumis à la directive ePrivacy et à la base légale du consentement pour en autoriser le dépôt et l’utilisation.

Il est donc essentiel de ne pas laisser des cookies GA se déposer sans consentement préalable, et de bien s’assurer de collecter un consentement valide avant que la solution Google Analytics ne se déclenche.‌

Cette règle est valable depuis la mise en place du RGPD à savoir depuis mai 2018. Si une période de tolérance de mise en place avait été acceptée par la CNIL… Cela fait bien longtemps aujourd’hui qu’elle est dépassée…‌‌

Problématique n° 2 : La perte de statistiques

Vous l’avez donc compris, sans consentement, il est donc interdit d’utiliser les cookies GA.

Mais puisque la solution Google Analytics est un outil de mesure, si elle ne peut plus utiliser ses cookies, elle ne peut plus remonter des statistiques.‌‌

En effet, la problématique n°1 entraîne automatiquement la problématique n°2. ‌


    Aucun responsable de site internet ne souhaite une mise en demeure en déposant des cookies non exemptés sans consentement, mais aucun non plus ne souhaite perdre une partie de ses statistiques !

Problématique n°3 : L’illégalité des transferts vers les Etats-Unis

Et comme le dirait l’adage “Jamais deux sans trois” ! Depuis le 10 février 2022, la CNIL met en demeure les gestionnaires de sites pour utilisation de GA et par conséquent pour les transferts illégaux de données à caractère personnel vers les Etats-Unis.‌‌

Il s’agit ici d’un sujet purement RGPD et d’une responsabilité entièrement à la charge des éditeurs. Ces derniers endossent la responsabilité des transferts illégaux de données à caractère personnel de résidents européens vers les Etats-Unis, car ils sont les responsables de traitement ! ‌‌

Quelle issue pour les utilisateurs de Google Analytics ?

Considérant ces trois problématiques, la situation est délicate pour les gestionnaires de sites utilisant Google Analytics.

Il ne faut pas paniquer pour autant : la CNIL n’interdit pas Google Analytics ; elle interdit son usage dans ses versions classiques (sous UA & GA4) tant que les transferts ne sont pas sécurisés.‌‌

Sirdata, société française avec plus de dix années d’expérience dans la Privacy, vous propose le “Sirdata Analytics Helper”.‌

L’outil permet de répondre automatiquement aux trois problématiques simultanément en ajoutant un simple script sur votre site :‌

Comment fonctionne le Sirdata Analytics Helper ?

La gestion des cookies :

Il s’agit du sujet le plus simple à résoudre.

Il existe plusieurs solutions classées ci-dessous de la moins avantageuse à la plus optimale:

a) Conditionner le(s) script(s) GA : dans votre code source ou dans votre GTM

b) Activer le Google Consent Mode

c) Activer le Sirdata Analytics Helper

Ces trois solutions auront pour conséquence de bloquer les cookies GA tant que l’utilisateur n’a pas donné son consentement.

La 3ème option (c) est largement plus avantageuse, car elle est la seule qui permet de résoudre les problématiques n°2 (perte de statistiques) et n°3 (transferts illégaux de données à caractère personnel).

Quelle est la réponse du Sirdata Analytics Helper pour gérer automatiquement les cookies ?

Le service va automatiquement empêcher le dépôt de cookies GA tant que l’utilisateur n’a pas donné son consentement en se basant sur les informations envoyées par la CMP (Consent Management Platform) déployée sur le site.

Le maintien des statistiques

Voici une comparaison des modes d’utilisation existants de Google Analytics :

scenarii d'utilisation de Google Analytics

“Sans conditionnement”, les cookies GA sont déposés systématiquement, c’est à dire, avant que l’utilisateur fasse un choix à travers la CMP, et même en cas de refus. De ce fait, les statistiques continuent d’être visibles, mais le prix à payer est l’absolue non conformité du traitement et de la collecte des données à caractère personnel par le site en question.‌‌

En cas de conditionnement ou d’utilisation du Google Consent Mode, les statistiques de visites sont perdues lorsque l'utilisateur ne donne pas son consentement.‌‌

Le Sirdata Analytics Helper est la seule solution du marché qui permet de maintenir des statistiques réelles y compris lorsque l’utilisateur n’accepte pas et/ou continue sans accepter.‌‌

Ces statistiques sont basées sur le traitement des données personnelles de l’utilisateur dans un format extrêmement sécurisé puis anonymisé qui permet à Sirdata de baser ce traitement sur la base légale de l’intérêt légitime et plus sur le consentement de l’utilisateur.‌‌

Il s’agit d’une technologie Sirdata intelligente 100% cookieless permettant le modèle suivant :

  • En cas de consentement : utilisation d’un cookie GA
  • Sans consentement : utilisation des services du Sirdata Analytics Helper‌

Cela signifie que l’ensemble des statistiques peuvent être maintenues automatiquement dans la console Google, excepté si l'utilisateur s’oppose aux traitements basés sur l'intérêt légitime via la CMP déployée sur le site.‌‌

S’il accepte, s’il ne fait rien, s’il clique sur une croix de fermeture, s’il clique sur “continuer sans accepter”, s’il clique sur “paramétrer mes choix” puis “enregistrer”, les statistiques seront bien maintenues grâce au Helper !‌‌

S’il clique sur “tout refuser” (environ 2% des utilisateurs) : aucune statistique ne remontera car il n’existe ni consentement pour utiliser les cookies, ni intérêt légitime pour traiter l’adresse IP (qui n’en reste pas moins une donnée personnelle).‌


    Le cookieless by Sirdata est une technologie sur laquelle Sirdata investit depuis plus de quatre ans.

    Son protocole a été soumis à la CNIL et respecte la vie privée des utilisateurs. Elle permet dans le cadre de ciblage de répondre à tous les enjeux marketing en fonction du choix des internautes et des contraintes des navigateurs.

    Dans le cadre de l’utilisation de Google Analytics, il s’agit de la seule solution du marché capable de maintenir les statistiques y compris quand l’utilisateur ne réalise aucun choix ou “continuer sans accepter”.

     

Les transferts de données personnelles vers les Etats-Unis


Le 10 février 2022, la CNIL indique avoir mis en demeure un gestionnaire de site pour utilisation de Google Analytics et par conséquent transfert illégal de données à caractère personnel vers les Etats-Unis.

Depuis ce positionnement de la CNIL sur la non-conformité du transfert vers Google Analytics aux Etats-Unis, d'autres Autorités en Europe ont adopté les mêmes conclusions et de nombreuses plaintes ont été déposées.

Cependant, il est tout de même possible de continuer d’utiliser Google Analytics en activant une offre de proxyfication telle que celle suggérée par la CNIL.

Voici ce que recommande la CNIL pour la proxyfication :

recommandation de la CNIL sur la proxyfication


‌A travers l’Analytics Helper, grâce à la gestion et au contrôle des paramètres de son proxy, Sirdata propose aux gestionnaires de sites de sécuriser leurs transferts de données à caractère personnel vers les Etats-Unis selon les recommandations de la CNIL :

paramètres de Sirdata Helper

Les données personnelles comme l’adresse IP et le ClientID Google sont traitées automatiquement à la volée pour que les statistiques restent avérées sans que les données ne puissent être ni lues ni déchiffrées par Google et les services de renseignements.

Une chose est certaine, il n’existe aucun autre moyen de sécuriser ces transferts.

Il faut nécessairement utiliser un proxy tiers et surtout casser le lien d’identification possible par Google et les services de renseignements. Il s’agit pour Sirdata de maintenir l’individualisation permettant les statistiques, mais d'empêcher toute identification.‌

Conclusion


Vous avez désormais tous les éléments en main pour continuer d’utiliser Google Analytics si vous le souhaitez.

Pour résumer, il est fondamental d'appréhender cette question de façon globale. La simple utilisation d’un proxy n’est pas suffisante. Il faut bien s’assurer du respect de la directive ePrivacy (gestion des cookies) tout en assurant aussi le respect du RGPD (sécurisation des transferts) sans oublier l’aspect business (ne pas perdre 30 ou 40% de ses statistiques).

Un dernier conseil : si vous deviez vous poser une seule et unique question, demandez-vous “Ai-je la volonté de garder l’outil Google Analytics ?”

En général, la réponse est oui, car il s’agit d’un bon outil souvent lié aux campagnes Adwords, qui permet une mesure fine pour connaître la provenance du trafic et mesurer les performances.

Très souvent, repartir de zéro, paramétrer un nouvel outil et ne plus pouvoir comparer ses statistiques avec les années précédentes est inenvisageable ! Si vous faites partie des responsables de sites qui souhaitent absolument garder Google Analytics, le Sirdata Analytics helper est la solution idéale.

Si la réponse est non : si l’utilisation de GA n’est pas cruciale dans votre stratégie, il est préférable de changer d’outil pour mettre en place une solution exemptée.

Il est alors essentiel de supprimer Google Analytics et de ne surtout pas le garder “en backup” car, en cas de contrôle, avoir une utilisation limitée de l’outil ne sera pas une justification valable.‌

Installez Sirdata Analytics Helper maintenant !

‌‌

Quelques liens utiles

Mise en conformité des transferts vers Google Analytics aux USA
Mise en conformité des transferts vers Google Analytics aux USA
Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? | CNIL
La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l’Union européenne et les États-Unis.
Tarification - Analytics Helper - Sirdata CMP

Tarification de Sirdata Analytics Helper

Sirdata Analytics Helper - Sirdata CMP

Documentation technique