Pour l'organisme français de surveillance des données, le déplacement de grandes quantités de données outre-Atlantique n'est en effet pas conforme aux règles de sécurité de l' Union Européenne.
Suite à cette décision prise par l’autorité de régulation, les sites web français devront revoir la façon dont ils suivent et mesurent le trafic sur leurs sites, Des alternatives à Google Analytics existent fort heureusement.
Explications sur la décision de la CNIL
Dans un communiqué de presse du 10 février 2022, la Commission nationale de l'informatique et des libertés (CNIL) a déclaré Google Analytics illégal, après avoir constaté que l'utilisation de Google Analytics pouvait constituer une violation du RGPD et les politiques de confidentialité.
Ce format de mises en demeure intervient après que la CNIL constate des problèmes de sécurité dans la fonctionnalité de Google Analytics.
En coopération avec ses homologues européens, la Commission « a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées ».
Cette décision est l'aboutissement d'un processus en cours depuis le milieu de l’année 2020. À l'époque, la Cour de justice de l'Union européenne mit fin à un accord transatlantique de transfert de données connu sous le nom de "Privacy Shield", sur lequel les entreprises s'appuyaient en termes de protection de données.
Initialement, le Privacy Shield était considéré par la Commission européenne comme une garantie suffisante pour le transfert de données personnelles d'entités européennes vers les États-Unis. Cependant, en 2020, la décision d'adéquation fut annulée, car elle ne répondait plus aux normes.
Il est intéressant de noter que la France n'est pas le premier pays européen à déclarer l’utilisation de Google Analytics illégale. Préalablement, en janvier 2022, l'Autriche avait fait de même et il n'est pas exclu que, dans les mois à venir, d'autres pays de l'UE suivent cet exemple.
Le régulateur français a d'ores-et-déjà ordonné à un responsable de site web de retirer Google Analytics de son site et lui donné un mois pour se mettre en conformité. La Commission ajoute dans le texte : "Concernant les services de mesure et d'analyse d'audience d'un site internet, la CNIL recommande que ces outils ne soient utilisés que pour produire des données statistiques anonymes, permettant ainsi une dispense de consentement si le responsable du traitement s'assure qu'il n'y a pas de transferts illicites."
La Cnil évoque égalément une violation des articles 44 et suivants du RGPD qui régissent le principe général applicable aux transferts de données. L’autorité conclue que les flux vers les États-Unis sont actuellement insuffisamment réglementés et laisse l’information libre aux services de renseignement américains. Elle se fonde sur le fait qu’en l’absence de décision d’adéquation, ils ne peuvent avoir lieu que si des garanties appropriées sont prévues dans les conditions actuelles.
« Si Google a adopté des mesures supplémentaires pour encadrer les transferts (…) celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignement américains à ces données », estime le régulateur.
Un nouvel accord entre l'UE et les États-Unis constituerait une solution à cette situation, mais jusqu'à présent, il n'y a eu aucun mouvement dans cette direction. En fait, les négociations ne sont même pas en cours pour le moment et il semble donc qu'il n'y aura pas de changement avant longtemps.
Pourquoi Google Analytics est-il déclaré illégal ?
Selon la CNIL, l'utilisation de Google Analytics et le transfert de données personnelles vers les États-Unis ne respectent pas la réglementation européenne en vigueur car les USA ne disposent pas d’une protection équivalente de la vie privée.
La clé, ce sont nos données personnelles (de nombreuses entreprises vivent de ces données), l'endroit où nos données sont stockées et leur transfert éventuel aux États-Unis. La CNIL considère que Google Analytics enfreint le règlement général sur la protection des données (RGPD) puisque les données sont stockées - ou transférées - aux États-Unis où il n’y a aucune garantie quant à l’accès des données.
Pour rappel, la non-conformité au RGPD entraîne des pénalités et on estime qu'environ 30 millions de portails dans le monde utilisent actuellement une version de Google Analytics.
Et, maintenant, comment analyser les performances de votre site web ?
Bien que cette décision de la CNIL soit récente et que les parties concernées n'aient pas réagi à l'information, il est possible de continuer à surveiller la performance de votre site web. L'arrêt de l’autorité est aussi l'occasion de s'informer sur les alternatives possibles à Google Analytics.
Il existe en effet plusieurs outils d'analyse conformes au RGPD qui fonctionnent sans cookies et qui ne collectent pas d'informations personnellement identifiables : Analytics Suite Delta de AT Internet, SmartProfile de Net Solution Partner, Wysistat Business de Wysistat, Piwik PRO Analytics Suite de Piwik PRO, Abla Analytics de Astra Porta, BEYABLE Analytics de BEYABLE, etracker Analytics (Basic, Pro, Entreprise) de etracker, Retency Web Audience de Retency, Nonli de Nonli, CS Digital de Contentsquare, Matomo Analytics de Matomo, Wizaly de Wizaly SAS, Compass de Marfeel Solutions, Statshop de Web2Roi et Eulerian de Eulerian Technologies, …
Matomo, une solution open source de mesure de statistiques web
Alternative de premier plan à Google Analytics, Matomo fait partie des services recommandés par la CNIL et est utilisable sans consentement de suivi.
Créé par une équipe internationale de designers, Matomo est une application web fonctionnant sur un serveur web PHP/MySQL qui permet de suivre en temps réel les pages vues / les visites d'un site web. L’outil propose divers rapports (concernant la localisation géographique / l’origine des visites, les pages vues, l'heure des visites, etc.) et offre quelques fonctionnalités avancées sur l’analyse de données (objectifs, e-commerce, etc.). L’outil fournit également des fonctionnalités qui ne sont pas directement liées à l'analyse du trafic web, notamment des options de confidentialité (ex. la possibilité d'anonymiser les adresses IP), de nettoyage régulier des données, …
Matomo peut s'intégrer à des applications tierces : des systèmes CMS tels que WordPress ou Drupal, des applications de commerce électronique telles que Magento, … Les rapports sont accessibles via une API web tout comme toutes les fonctionnalités d'administration. Et, une application mobile est proposée pour que les utilisateurs puissent accéder à leurs données d'analyse sur leur téléphone.
Les consultants en Web Analytics de Fidesio peuvent vous accompagner dans la mise en place de solutions adaptées aux nouvelles dispositions des autorités de régulation dans le domaine de la sécurité et du RGPD. Si vous souhaitez mettre en place Matomo ou une autre solution conforme aux exigences de la CNIL, contactez nos experts !