En tant que propriétaire de site web, utilisez-vous Google Analytics ? La mise à jour d’une réglementation qui vise à protéger les données des internautes devrait vous intéresser. Une instance européenne a été contactée par l’association None Of Your Business (NOYB) concernant l’envoi des données collectées par Google Analytics vers les États-Unis. Ce groupe de défense d’intérêts est un organisme à but non lucratif. NOYB a pointé le fait que le partage de ces informations pose un problème au regard du droit européen. Quelles sont les conséquences de la réglementation RGPD pour les utilisateurs de Google Analytics ? Comment configurer Google Analytics pour le mettre en conformité avec la réglementation RGPD ? Nous répondons à toutes ces questions dans cet article !
Sommaire
Au mois de février 2022, la Commission nationale de l’informatique et des libertés (CNIL) a mis à jour une réglementation. La CNIL a statué que l’envoi de données collectées par l’outil Google Analytics vers les États-Unis constitue une violation du Règlement Général sur la Protection des Données (RGPD).
Le RGPD est un texte de référence 📖 en matière de protection des données personnelles. Étant donné que ce dernier est émis par l’Union européenne, tous les pays membres sont concernés. Par conséquent, si votre site est européen et qu’il utilise Google Analytics, vous faites partie des personnes concernées par cette évolution de la réglementation.
Cela ne signifie pas que l’outil Google Analytics ne doit plus être utilisé par les sites internet, mais qu’il doit être configuré pour être en conformité. Les propriétaires de sites web ont tout intérêt à :
– Prendre en considération le règlement européen, et pour les sites français, la loi informatique et libertés
– Se mettre en conformité par rapport au traitement des données personnelles
– Protéger les intérêts légitimes de ses utilisateurs
– Collecter les données nécessaires uniquement
– S’assurer du respect de la vie privée de ses utilisateurs
– Sécuriser les données collectées
– Informer les personnes concernées
Voilà un programme bien fourni et il est légitime de se demander si cela est réellement nécessaire. La réponse est 💡 oui !
La CNIL a transmis des mises en demeure à des sites web bien spécifiques tels que Sephora, Auchan ou encore Décathlon. Les sites web sont bien nombreux sur la toile et l’association n’enverra pas de mise en demeure à chacun. Toutefois, tant qu’un site n’est pas en conformité avec la législation, les risques demeurent.
Il faut aussi savoir que Google n’est pas tenu responsable de la non-conformité au niveau européen de certains paramètres de son outil. Par conséquent, c’est aux propriétaires des sites de régulariser leur situation au regard de la loi qui les concerne sur leur territoire.
Préserver votre conformité au RGPD est une démarche importante pour la sûreté de votre site.
Google Analytics vous permet d’analyser en profondeur le trafic de votre site. Il utilise le dépôt de cookies pour mesurer les comportements de navigation des internautes. Il faut savoir que chaque cookie 🍪 contient un identifiant unique qui permet de reconstituer le parcours de navigation de vos utilisateurs.
L’utilisation de ces cookies est au cœur du problème de protection des données à caractère personnel :
– L’utilisation de cookies doit recueillir le consentement des utilisateurs.
– Les données concernant la navigation sont parfois utilisées pour personnaliser les campagnes publicitaires de Google Ads.
– Google se réserve le droit d’utiliser à ses propres fins toutes les données traitées.
La plupart des sites n’utilisent pas Google Analytics à des fins commerciales. Ils l’utilisent uniquement pour mesurer le trafic et travailler l’ergonomie des pages web. Si c’est aussi le cas pour votre site, vous pouvez réduire la collecte de données dans l’interface de gestion administrative de Google Analytics.
Il est possible d’appliquer des filtres mis en place par Google en désactivant par exemple :
– Le remarketing
– Les fonctionnalités de création de rapports sur la publicité
Vous pouvez configurer Google Analytics pour réduire le temps de conservation des données sur les utilisateurs et les événements. La durée de vie des cookies par défaut dépasse celle autorisée par le RGPD. Les recommandations sont :
– Pour les cookies d’audience : 2 ans
– Pour les cookies publicitaires : 13 mois
La majorité des sites internet possède une page dédiée à la politique de confidentialité dans laquelle la gestion des cookies est abordée. Le contenu de cette page est relatif à la protection des informations personnelles des visiteurs du site.
Les politiques de confidentialité tout comme les mentions légales participent également à améliorer l’image de marque d’une entreprise 😉. Mettre à jour leurs politiques de confidentialité est un moyen pour les sites internet de faire preuve de transparence. Ils démontrent ainsi leur intérêt pour la sécurité de leurs utilisateurs.
Il est aussi possible de mettre en place un widget pop-up pour gérer le consentement de l’usage de cookies pendant la navigation 🖥️ d’un internaute sur votre site.
L’outil de Google utilise des identifiants pseudonymes comme identifiant utilisateur ou identifiant de transaction. Ces identifiants uniques permettent des mesures d’audience sur votre site.
En inspectant la liste de ces identifiants, vous vous assurez qu’il s’agit bien d’identifiants alphanumériques. Autrement dit, qu’ils contiennent bien uniquement une succession de chiffres et de lettres. Il faut éviter à tout prix que ces identifiants contiennent des données personnelles telles que le nom de l’utilisateur ou son adresse mail.
L’adresse IP d’un internaute est considérée en Europe comme une donnée personnelle présentant un certain niveau de sensibilité. En tant que propriétaire de site, vous pouvez anonymiser les adresses IP avant stockage par Google Analytics.
L’anonymisation 😎 va permettre de tronquer une partie de l’adresse. Les données géographiques de vos rapports seront, dans ce cas, légèrement modifiées. Toutefois, dans l’analyse d’impact, le niveau de précision est largement suffisant, et donc pertinent, même avec des adresses tronquées. Pour cela, rendez-vous dans l’outil Google Tag Manager dans la configuration de balise et sélectionnez : Google Analytics.
Les manipulations pour configurer votre outil Google Analytics pour le rendre conforme au RGPD sont nombreuses. En attendant que votre site soit entièrement à jour au niveau du traitement de données, le RGPD conseille d’appliquer le principe de minimisation. C’est-à-dire de minimiser la récolte de données superflues et de se limiter à ce qui est nécessaire pour l’usage que vous souhaitez en faire. Et cette recommandation s’étend à l’ensemble des outils d’analyse que vous utilisez.
Il vous est également possible de changer d’outil de mesure d’audience. Bien que Google Analytics soit le plus largement utilisé, il en existe d’autres dont certains font partie de la liste officielle de la CNIL. Cependant, l’installation d’un nouvel outil doit également se faire avec le bon paramétrage afin d’être conforme au RGPD.
Et pour finir, nous vous conseillons de faire une veille concernant les lois de protection des données en même temps que vous faites votre veille concurrentielle !
Suite à cet épisode, le géant Américain a pris la parole lors d’un webinar. Grâce au résumé de Qwamplify analytics, voici ce que l’on peut conclure :
Google a envoyé une lettre à la commission européenne de la protection des données. Il est donc apparent que l’entreprise américaine tente d’influencer les décisions européennes.
Premièrement, Google a annoncé que la version de Google Analytics appelée Universal Analytics prendra fin en juillet 2023. Malgré de nouvelles versions sorties après Universal Analytics, cette version reste la version la plus utilisée de Google Analytics.
En outre, Google a annoncé de nouveaux paramètres à venir : l’IP de l’utilisateur ne sera plus stocké sur des serveurs sur le sol américain, et chaque administrateur de GA pourra paramétrer les options de tracking et de privacy selon son pays.
Google espère que l’Europe et les États-Unis pourront conclure un nouvel accord quant au transfert de données personnelles. Ceci pourrait remédier très rapidement aux soucis posés par l’utilisation de Google Analytics en Europe.
Mais est-ce que le roi du digital est assez puissant pour influencer la politique européenne ? Histoire à suivre.
Si comme Sémantisseo, vous êtes une entreprise basée en Suisse, vous devez certainement vous demander quel impact le RGPD peut avoir sur votre site.
La réponse à cette question se trouve dans l’origine des internautes qui visitent votre site. Il est probable que ces personnes surfent sur le web depuis des pays voisins, tels que la France. Par ce fait, même si vous êtes basés en Suisse, vous êtes dans l’obligation de vous conformer aux règlements européens afin de protéger les données de vos prospects.
Pour plus d’informations à ce sujet et pour connaître les détails de la législation, veuillez visiter le site de la Confédération suisse.
Afin d’y voir plus clair sur le sujet, nous avons décidé d’interviewer la première personne qui nous a mis en garde face au duel RGPD – Google Analytics. Pauline Millot est webmaster freelance. Elle crée de magnifiques sites modernes, pratiques et sur-mesure. Nous avons collaboré sur plusieurs sites pour des clients en commun.
Auparavant, Pauline intégrait Google Analytics à ses sites, afin de pouvoir accéder aux statistiques. Cependant, depuis quelque temps, elle ne le fait plus. Découvrez pourquoi ci-dessous.
Dans le RGPD, il est spécifié que nous ne devons pas recueillir des données pour lesquelles l’utilisateur n’a pas émis son accord. Par exemple, tout ce qui ne concerne pas l’analytics mais plutôt les champs de formulaire, nous sommes obligés d’inclure une case à cocher pour que l’utilisateur accepte que les données recueillies soient utilisées. Donc le RGPD stipule que nous n’avons pas le droit de stocker des données personnelles, à caractère démographique, sans le consentement de l’utilisateur.
Ce règlement aborde également ce que nous appelons le double opt-in. Lorsqu’un site demande le mail de l’utilisateur pour une newsletter par exemple, il devrait y avoir une étape de confirmation d’inscription, via un courriel, après que l’internaute ait soumis son e-mail. L’internaute valide donc deux fois son consentement. Dans les faits, ce n’est pas souvent mis en œuvre.
Ensuite, il y a toute une partie qui concerne le traçage des données, l’analytics, qui est un peu plus compliquée. D’un côté, nous avons la CNIL, la Commission nationale de l’informatique et des libertés, qui autorise le traçage de certaines données considérées comme indispensables pour la gestion d’un site internet. De l’autre côté, il a ce que fait Google. Google et la CNIL ne sont pas d’accord, car le géant américain traque des données supplémentaires, qui ne sont pas forcément considérées comme indispensables pour la bonne gestion d’un site. De plus, Google envoie ces données sur des serveurs aux États-Unis. C’est justement cette partie qui n’est pas conforme au RGPD, et qui complique le travail des possesseurs de sites web.
Oui ! Toutes les publicités ciblées que l’on rencontre en naviguant sur le web sont liées à ces données récoltées par Google. Les données que Google enregistre en plus correspondent à la navigation de l’utilisateur une fois qu’il quitte le site. Ceci n’est pas autorisé par la CNIL car ce n’est pas considéré comme indispensable pour gérer les statistiques de son propre site. Normalement, nous ne devrions pas nous soucier d’où l’utilisateur va après.
Il est possible de désactiver cette option dans son Google Analytics, mais ce n’est pas facile à faire – elle n’est pas du tout mise en avant. Et même en désactivant cette option, il reste le problème que ces données sont transférées sur des serveurs aux États-Unis. La loi américaine autorise le gouvernement américain à accéder à toutes les données stockées sur les serveurs aux États-Unis. Et ça, ce n’est pas conforme au RGPD. Selon ce règlement, le gouvernement ne devrait pas y avoir accès.
Exactement. À partir du moment où Google aura des serveurs en Europe, ce qui arrivera certainement, on pourra à nouveau utiliser Google Analytics en veillant à désactiver le recueil de données en trop.
Pour le moment, je préfère utiliser les outils alternatifs qui récoltent uniquement ce dont on a besoin et pas plus.
C’était complètement par hasard, dans un groupe Facebook dédié à WordPress. Une personne d’Allemagne l’a dit en premier : un site en Autriche a reçu une grosse amende et a dû fermer son site car il utilisait Google Analytics. Cette personne a donc donné l’alerte pour dire aux Européens de faire attention avec le RGPD et Google Analytics.
Oui tout à fait. Pour le moment, le seul cas connu est survenu en Autriche, mais cela pourrait se propager dans les autres pays.
Comme je suis développeuse web, je dois être renseignée sur le sujet lorsqu’un client me demande d’installer Google Analytics sur son site ! De plus, ce n’est pas dans mon éthique personnelle de suivre la tendance. J’ai l’habitude de respecter les lois, surtout lorsqu’elles touchent aux libertés des personnes.
Dans mon cas, ce sont les clients qui pourraient me mettre dans une situation fâcheuse si j’installais un programme qui n’est pas autorisé sur le sol français. Ils peuvent affirmer qu’ils n’étaient pas au courant de ce règlement, et cela pourrait se retourner contre moi. Je me protège.
Ce qui est souvent évoqué sur les forums, c’est que beaucoup de plugins de cookies ne fonctionnent pas. Même en désactivant les cookies, rien ne change. Les seuls qui fonctionnent vraiment sont les plugins payants qui coûtent assez cher. Je préfère donc éviter de stocker les cookies qui ne sont pas indispensables.
Pour les cookies considérés indispensables par la CNIL, un site n’a même pas besoin du bandeau d’acceptation de cookies. Pour encore plus de transparence, on peut afficher un bandeau pour avertir les internautes que les cookies indispensables sont stockés, et que s’ils ne le souhaitent pas, c’est dans leur navigateur qu’il faut changer les réglages. Ceux qui ne sont pas indispensables, ce sont ceux de Google Analytics, Facebook, Pinterest, … Tout ce qui peut être mis en place pour traquer les internautes d’un site à un autre.
Il existe plusieurs plugins gratuits comme Koko Analytics, Matomo – qui existe en version gratuite et en version payante – et Micro Analytics qui respecte le RGPD et ne traque que les données autorisées par la CNIL. De plus, l’interface est très sympa. Ce n’est pas un plugin à télécharger sur son WordPress ; il s’agit tout simplement d’un bout de code à rajouter dans son site. Cela ne ralentit donc pas la vitesse du site, et il est gratuit jusqu’à 10’000 visites par mois, ce qui suffit amplement pour beaucoup de sites web.
Oui. Je crée un compte pour le client sur le site de Micro Analytics, ce qui est très simple à faire. Et c’est tout !
Il est intéressant de préciser que Micro Analytics peut également être lié à la Google Search Console pour vérifier les éléments qui concernent les mots-clés.
Je pense effectivement que Google arrivera à terme à implanter des serveurs en Europe. S’ils ne le font pas avant la fin de l’année 2022, ils risquent de perdre énormément d’utilisateurs. Ils ont donc tout intérêt à le faire et à être acceptés dans le monde entier.
Ils essaient déjà de se conformer aux règles en donnant l’option de désactiver la récolte des données qui ne sont pas strictement nécessaires. Le seul problème qui perdure est donc celui de l’emplacement des serveurs.
Finalement, c’est comme pour tout : lorsqu’un produit est gratuit, l’entreprise se fait de l’argent sur ses utilisateurs. Donc, si Google arrive à donner plus d’informations que ses concurrents, c’est que lui aussi utilise ces données.
Les alternatives à Google Analytics offrent les mêmes fonctionnalités mais dans une version payante. Par exemple, la version premium de Matomo donne autant d’informations que Google Analytics. C’est donc un choix à faire : est-ce que l’on préfère payer ou être le produit soi-même ?
C’est vrai, c’est un risque à prendre. Cependant, c’est toujours une bonne chose qu’un géant comme Google ait de la concurrence sérieuse. Il y aura certainement de nouveaux outils qui sortiront et qui seront encore mieux !
Je me suis aussi demandé si nous allions trouver un outil aussi complet que Google Analytics. Mais lorsque j’ai vu ce que la CNIL autorise comme données, j’ai réalisé que nous aurions tout de même accès à toutes les données nécessaires pour réaliser les statistiques de visite. Ces statistiques sont aussi disponibles directement chez notre hébergeur de manière un peu moins précise.
Personnellement, je suis très contente de Micro Analytics car il est facile à prendre en main et offre de beaux graphiques. De plus, les données sont facilement accessibles, et nous pouvons même voir les visites en direct !
Merci Pauline ! Nous te remercions pour tes réponses et ton temps.
Le saviez-vous ? Les participants et participantes de notre formation, La visibilité par les mots, ont un tarif préférentiel chez Pauline 😉.
Après notre interview, Pauline Millot nous a également suggéré Piwik PRO comme alternative fiable à Google Analytics. En termes de privacy et de conformité au RGPD, Piwik PRO se retrouve meilleur que Google Analytics. Pour une comparaison complète et en profondeur sur les outils de Google et de Piwik PRO, ce dernier nous propose un joli tableau.
Merci de votre lecture
Au plaisir de vous retrouver dans nos prochains articles.
L’équipe Sémantisseo
L’équipe Sémantisseo travaille assidûment afin de vous informer régulièrement des actualités du monde digital, ainsi que pour vous donner des conseils en matière de référencement éditorial. Voici comment rester en contact :
Pourquoi pas un accompagnement personnalisé ? Contactez-nous avec vos questions ! Nous nous réjouissons d’échanger avec vous.
