En janvier 2022 la CNIL a mis en demeure un prestataire de services, lui demandant de supprimer Google Analytics ou de modifier drastiquement son fonctionnement. La CNIL reprochait en effet des manquements dans le traitement des données personnelles.
Suite à ces annonces, certains ont pris la décision de passer à d’autres solutions comme Matomo ou Piano Analytics.
Toutefois, en juin 2022, la CNIL a précisé les conditions (assez drastiques et très techniques) qui permettent l’utilisation de GA. Malgré ces dernières, on entend encore souvent dire que Google Analytics est illégal, alors que la CNIL dit justement l’inverse… à condition de respecter des critères bien précis.
Dans cet article, on vous donne les clés pour savoir comment rendre Google Analytics légal.
La CNIL et la législation européenne RGPD : un peu de contexte
Début 2022, la CNIL a donc mis en demeure des sites utilisant Google Analytics suite aux plaintes d’une association autrichienne. Cela a été motivé par les conditions de transfert des données personnelles collectées par l’outil. Les données personnelles peuvent inclure des informations telles que l’adresse IP ou tout autre donnée permettant d’identifier un utilisateur.
Google est une entreprise américaine et donc les données collectées en Europe sont envoyées aux Etats-Unis. Mais, il faut préciser que la législation RGPD permet l’envoi des données en dehors de l’Union Européenne, si le traitement effectué sur ces données est le même que dans le territoire européen. Mais aux Etats-Unis, depuis la loi Cloud Act, les instances judiciaires peuvent demander aux fournisseurs de services américains de fournir les données ! C’est ce point problématique qui a motivé la CNIL, dans un premier temps, à déclarer les configurations actuelles de Google Analytics comme étant interdites.
Google Analytics est-il légal en France?
Oui Google Analytics est légal ! En effet, en juin 2022, la CNIL a énoncé l’ensemble des conditions qui permettent de rendre légal la collecte de données via Google Analytics : proxyfication, hashage, prévention du fingerprinting, suppression des données pseudonymes…
Quand toutes ces conditions sont remplies, il est clair qu’Universal Analytics et GA4 sont bien légaux !
La CNIL déclare GA légal : GTM Server-side
L’objectif de la CNIL est d’éviter que les autorités américaines puissent suivre les utilisateurs : il faut donc anonymiser et épurer les éléments envoyés pour éviter une potentielle identification. Cette anonymisation des données pour Google Analytics prend plusieurs formes :
- La suppression de la dernière partie (classe C) de l’adresse IP avant même l’envoi de la donnée aux serveurs de Google Analytics,
- La suppression des données (dans l’URL, le referrer ou les paramètres notamment) pouvant permettre de recouper l’utilisateur. Cela concerne l’ensemble des identifiants personnels comme le click id facebook (*fbclid*) ou celui de Google Ads (*gclid*) mais aussi, dans certains cas des paramètres d’URL type utm_id ou utm_campaign,
- Le hashage sécurisé des données d’identifiants comme l’identifiant analytics (aussi appelé le client id).
Pour anonymiser l’ensemble de ces données, il est nécessaire d’utiliser un système de proxyfication.
Qu’est-ce que c’est un système de proxyfication ?
Le système de proxyfication le plus utilisé est server-side Google Tag Manager, c’est un serveur intermédiaire entre le client (navigateur de l’utilisateur) et le serveur de Google Analytics qui collecte les données. Cette étape supplémentaire qu’on ajoute entre la collecte et l’envoi de données va permettre d’anonymiser les adresses IP et toutes les données nécessaires.
Pour nos clients, nous avons configuré la solution GTM Server-side qui, en plus de permettre une meilleure conformité au RGPD, offre de multiples avantages :
- contournement de la limitation à 7 jours des cookies sur iOS,
- contournement de bloqueurs de publicité (ad blockers),
- meilleur filtrage du trafic interne,
- utilisation de Facebook Conversion API (”le server-side de Facebook”), qui vous permet d’avoir une meilleure connaissance de votre audience.
Comment configurer Google Analytics 4 pour le RGPD ?
En plus de la mise en place de GTM Server-side, nous avons développé tout un système qui permet d’avoir une configuration qui respecte à 100% les consignes de la CNIL. GA4 pourra être utilisé uniquement pour la mesure d’audience, et on pourra avoir les données sur les sessions, le nombre d’utilisateurs, etc.
Pour la mise en conformité de tous nos clients, nous avons également préparé toute une documentation qui répond point par point aux sujets évoqués par la CNIL (absence de transfert de l’adresse IP, nettoyage du site référent…).
En utilisant moins de données, certaines fonctionnalités de GA deviennent plus limitées ou moins précises, mais cela n’empêche en rien son utilisation à grande échelle. Voici les éléments que vous perdez en vous mettant en conformité :
- Impossibilité d’envoi d’audience depuis GA vers Google Ads. Mais quasiment toutes les logiques d’audience peuvent être recréées avec des tags de remarketing Google Ads, qui, eux, ne sont pas sous le radar de la CNIL,
- Pas d’import d’objectifs dans Google Ads. Mais les tags de conversion Google Ads sont aussi très efficaces,
- Géo-localisation légèrement moins précise,
- Information sur les sites précédents légèrement moins précise,
- Suppression des données démographiques fournies par Google (âge, sexe, centre d’intérêt).
Puis-je toujours utiliser des paramètres UTM et connaître mes sources de trafic ?
La communication de la CNIL n’est pas toujours d’une grande clarté. La CNIL ne cherche pas à vous empêcher de mesurer l’efficacité générale de vos publicités ! La suppression des UTM et des sites référents ne concernent que les éléments pouvant permettre, par recoupement de données, l’identification théorique d’un utilisateur. Ainsi, un utm_campaign ou un site référent qui serait spécifique à une poignée d’utilisateurs sera supprimé par notre système. Une analyse de l’unicité de ces données est faite grâce à l’export BigQuery et peut être transmise à la CNIL en cas de contrôle pour démontrer que les informations collectées ne peuvent en aucun cas être pris utilisées à des fins d’identification.
Conclusion
Oui, vous pouvez continuer à utiliser légalement Google Analytics ! Nous pouvons même conclure que la CNIL s’est prononcée sur le mode de légalité de GA, mais que rien n’a été indiqué pour le moment pour d’autres outils américains comme AT Internet (Piano Analytics) ou Adobe Analytics.
De plus, un nouveau *Privacy Shield* (accord pour le transfert des données personnelles entre l’UE et les États-Unis) devra être signé dans les prochains mois.
Nous sommes experts dans les configurations Google Analytics et l’accompagnement RGPD et Privacy. Contactez-nous pour avoir une configuration analytics en conformité avec la CNIL.
