CNIL : Google Analytics est illégal – faut-il le remplacer ?

En février dernier, l’Agence française de protection des données (CNIL pour « Commission nationale de l’informatique et des libertés ») annonçait en effet dans un communiqué l’invalidité légale de l’usage de Google Analytics en France « en raison des transferts illégaux de données vers les États-Unis ».

Le contexte : la NOYB saisit la CNIL, Google Analytics tremble

En début d’année, l’association NOYB (None of Your Business) saisissait la CNIL dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) avec 101 plaintes sur le transfert de données de sites web utilisant Google Analytics, en pointant la collecte des interactions utilisateurs pour transfert illégal de leurs données  aux Etats-Unis. La CNIL a effectivement souligné le risque que les services de renseignement américains accèdent à des données personnelles transférées aux États-Unis, et indique sur son site web le 10 février 2022 que :

« ces transferts sont illégaux  (…) . Un gestionnaire de site web français doit se conformer au RGPD et, si nécessaire, ne plus utiliser cet outil dans les conditions actuelles. »

Et de constater que « les données des internautes sont (…) transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. » (Pour aller plus loin, la mise en demeure anomymisée est consultable à cette adresse.)

C’est donc sans appel : tous les sites utilisateurs sont aujourd’hui susceptibles de recevoir une mise en demeure et/ou une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’organisation pour usage de Google Analytics non conforme au RGPD.

Que faire de Google Analytics dans ce contexte ?

Option 1 : conserver Google Analytics, oublier la CNIL et attendre

La question se pose raisonnablement : Google va-t-il faire en sorte de corriger le problème ?

« Ne rien faire » peut sembler être une approche valable, du moins tant que les choses restent dans le flou : « attendre et voir venir ».

C’est aussi ce que nous avons fait pendant un certain temps, considérant le coût d’un changement d’outil (financier pour nos clients, exploration et tests pour nous). Le risque d’un durcissement immédiat des actions de la CNIL était faible et on pouvait envisager une réponse corrective de Google Analytics…

Option 2 : conserver Google Analytics en suivant les recommandations de la CNIL

La CNIL indique sur son site qu’il est techniquement possible de conserver Google Analytics tout en respectant le RGPD. En effet, une intervention au niveau des serveurs d’hébergement du site (la « proxyfication ») peut permettre de couper toute possibilité de rattacher les données analytiques produites par Google à un utilisateur. Dans ce cas de figure, le transfert des données produites vers les Etats-Unis ne pose pas de problématique de gestion de données privées.

Il est toutefois à noter que cette intervention n’est pas techniquement « simple », on peut s’en faire une idée en lisant sur le site de la CNIL « Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD » (7 juin 2022).

Elle induit par conséquent un coût technique et humain qui mérite réflexion.

En synthèse : faut-il remplacer Google Analytics ?

Les « signaux faibles »

Avant d’aborder cette question épineuse, il convient de noter que les choses bougent et ne vont pas dans le sens de Google Analytics.

D’un côté, la CNIL semble préparer le terrain en se dotant début janvier d’un outil répressif simplifié qui lui permettra de faire face avec une plus grande souplesse aux plaintes de plus en plus nombreuses (plus de 14 000 en 2021). Pour mieux comprendre le système répressif de la CNIL depuis cette réforme, vous trouverez une infographie à la fin de cet article.

De l’autre côté, un développeur (David Libeau) déposait fin juin auprès de la CNIL 42 plaintes visant les principaux médias français (lire l’article) pour usage illégal de Google Analytics. Le choix de cibler des médias n’est certainement pas anodin, il porte une puissance symbolique forte et pointe les projecteurs sur la problématique : quelle que soit la suite donnée par la CNIL, le sujet prend de l’ampleur.

Pour le contexte européen, il est à noter que l’autorité de surveillance italienne s’est rangée au côté de la France et de l’Autriche en déclarant à son tour l’usage de Google Analytics illégal le 23 juin 2022 (source).

De son côté, Google impose aux éditeurs de sites web une bascule généralisée sur la dernière version Google Analytics (« GA4 ») d’ici 2023, plus respectueuse mais à ce jour toujours illégale sur le point mentionné plus haut : aux problématiques levées par la cnil Google Analytics 4 n’apporte pas de réponse claire. Concrètement, cela signifie :

• des actions techniques de changement de version obligatoires à prévoir pour 2022-23
• aucune certitude sur la pérénité de ces investissements (décision google analytics sur correctifs non communiquée)

Proposition de réponse

Compte-tenu des éléments décrits plus haut et au regard des philosophies fondamentalement contradictoires de Google (dont le modèle d’affaires est précisément la collecte à usage commercial des données utilisateurs) et du législateur, nous considérons qu’il est temps d’envisager le remplacement de Google Analytics au cours de l’année :

• Ne rien faire devient trop risqué
• Investir dans Google (proxyfication, bascule vers Google Analytics 4) revient à un pari de incertain dans un outil de structure fondamentalement contradictoire avec la philosophie du RGPD.

Quitte à investir, il nous semble rationnel de miser sur un “cheval” qui court dans la bonne direction, c’est à dire celle du droit français.

La CNIL propose des solutions de remplacement de Google Analytics « RGPD compliant »

Consciente des difficultés induites par les pratiques illégales de notre “mauvais cheval” Google Analytics, la CNIL a ouvert la voie du changement en proposant une liste de solutions de remplacement (non exhaustive).

Ceci étant posé, remplacer Google Analytics n’est pas si simple en raison de son rapport qualité/prix imbattable :

• Qualité : il est extrêmement performant et très simple à installer
• Prix : il est gratuit (justement parce qu’il “fait son beurre” sur ce qui est aujourd’hui illégal).

Les produits de remplacement induisent donc soit une perte de qualité (impossible de proposer gratuitement un produit équivalent)… soit une perte de rentabilité (il faut donc payer pour un produit équivalent). En un sens, en quittant le modèle Google (« Si c’est gratuit, c’est que vous êtes le produit »), on revient à une logique de marché plus classique : on paye la qualité…

Il reviendra à chaque éditeur de site, à chaque agence web, de faire ses propres analyses et de statuer sur le compromis le plus satisfaisant au regard de ses besoins et contraintes spécifiques, avec une courbe prix/performance en fonction forcément croissante.

Chez Sodium, nous partons sur une approche mixte pour nos clients, que nous vous présenterons plus en détail dans un prochain article :

• Pour les sites « simples », nécessitant le niveau d’analyse du trafic le plus basique : nous mettons en place un plugin WordPress ultra-léger et respectueux du RGPD (pas de cookies et auto-hébergé)
• Pour les besoins plus complexes, nous commençons à déployer une installation Matomo (plus ou moins avancée selon le besoin) qui, selon nos recherches, présente la meilleure alternative à Google Analytics avec le respect du RGPD le plus pointu.

---

PS : si en tant qu’utilisateur vous souhaitez gagner du temps sur ce long processus et ne plus être traqué par Google Analytics dès maintenant, voici la présentation d’un petit plugin à installer dans Chrome (développé par… Google)

---

Infographie : Les procédures de sanction de la CNIL