Vers la fin de Google Analytics en Europe ?

Deux décisions juridiques viennent sonner comme un coup de tonnerre dans le ciel européen de la protection des données personnelles. Ce 10 février 2022, la CNIL (Commission Nationale de l'Informatique et des Libertés) enjoint le site Web d’Auchan et de Sephora (entre autres) de cesser l’utilisation de Google Analytics, car jugé incompatible avec le RGPD. Cette décision était précédée, le 13 janvier dernier, d’une décision similaire, rendue par l’équivalent autrichien de la CNIL (DSB – Datenschutzbehörde).

Pour rappel, depuis mars 2021, toutes les organisations doivent se conformer aux exigences de la CNIL dans le cadre des normes RGPD notamment au sujet des cookies et traceurs. 

Mais que signifie réellement cette nouvelle décision ? Cela veut-il dire que Google Analytics devient illégal en Europe ? Quelles conséquences pour les 84% des sites Internet qui utilisent Google Analytics ? Cette décision va-t-elle faire tache d’huile et concerner tous les services cloud américains ?

Google Analytics : une domination sans partage

Quand vous êtes gestionnaire d’un site Internet, Google Analytics apparaît comme le meilleur outil qui soit :

• Gratuit
• D’une richesse fonctionnelle incomparable
• Particulièrement efficace quand il s’agit d’analyser les comportements de vos utilisateurs et améliorer vos actifs digitaux, qu’il s’agisse d’un site Internet, E-commerce, d’une application mobile ou d’un Extranet

Dans un contexte d’explosion des ventes en ligne, Google Analytics se révèle notamment un outil indispensable pour optimiser ses performances E-commerce. Avec un suivi extrêmement fin de très nombreux indicateurs, Google Analytics permet d’identifier tous les goulots d’étranglement qui font baisser le taux de transformation. Il n’est pas rare, après un audit Analytics et des recommandations précises, de réussir à augmenter significativement les taux de conversion d’un site E-commerce.

Et, si en plus vous menez activement des campagnes d’acquisition marketing via Google Ads, LinkedIn Ads (ou autre), le suivi Google Analytics devient incontournable : vous mesurez précisément l’efficacité de vos campagnes, vous pouvez lancer des tests A/B et pratiquer l’amélioration incrémentale de tous vos leviers marketing.

Les concurrents actuels

En face de Google Analytics, les alternatives restaient jusqu’à présent limitées : Matomo, AT Internet sont en France les seuls acteurs avec des parts de marché significatives. Si, depuis de nombreuses années, nous incitons nos clients à passer sur d’autres solutions logicielles telles que celles-ci, nous nous rendons souvent à l’évidence que la richesse fonctionnelle de Google (et sa facilité de mise en œuvre / paramétrage pour des plans de tagguage complexes) balaye parfois trop rapidement les objections liées au RGDP. Et ce d’autant plus quand la dernière mouture de GA : Google Analytics V4 apportait la promesse d’une conformité totale avec le RGPD avec l’anonymisation des adresses IP et le paramétrage de la durée de conservation des données.

Ce que veut dire la décision de la CNIL

Au bout d’un an et demi d’enquête, la CNIL estime que « les transferts vers les États-Unis ne sont pas suffisamment encadrés » : malgré la possibilité d’anonymisation offerte par l’outil Google Analytics, les données collectées par le site Auchan ou Sephora pourraient facilement être recombinées pour identifier individuellement les internautes. Les protections mises en avant par le géant américain (notamment la V4 de Google Analytics) sont insuffisantes au regard du RGPD.

Ce risque de re-identification est directement mis en évidence par l’arrêt « Schrems II ». En juillet 2020, la Cour de Justice de l’Union Européenne a jugé que le droit américain était incompatible avec celui de l’UE : les autorités américaines (par exemple les services de renseignement) ont en effet la possibilité de contourner le RGPD en obtenant des données personnelles de citoyens européens.

Si cette décision ne concerne aujourd’hui que quelques sites Internet, le raisonnement proposé par la CNIL va s’appliquer logiquement à n’importe quel autre site exploité en France. Tout site exploité en France peut faire l’objet d’un contrôle de la CNIL et écoper d’une amende publique s’il ne supprime pas dans un délai d’un mois l’utilisation de Google Analytics.

Les conséquences d’une telle amende sont certes pécuniaires mais vont également impacter la réputation directe des marques, qui vont être très rapidement dans l’obligation de remplacer Google Analytics par des solutions rentrant dans le périmètre d’exemption de la CNIL.

Les conséquences possibles de la décision de la CNIL : la fin du cloud américain ?

La CNIL indique également dans sa mise en demeure que des « mesures correctrices » pourraient être adoptées prochainement vis-à-vis d’autres outils similaires (notamment tous les outils de connexion tels que Facebook Connect).

Plus globalement, il faut s’attendre à ce que n’importe quel service de cloud américain ne soit plus en conformité et fasse l’objet d’une interdiction sur le territoire européen. La menace récemment avancée par Meta de fermer ses services (Facebook et Instagram) en Europe est l’exemple le plus récent de ce mouvement tectonique des plaques technologiques.

Et, quand on parle de n’importe quel service de Cloud américain, il faut aussi parler de toutes les solutions logicielles européennes qui sont ainsi hébergées sur des serveurs américains d’Amazon ou d’Azure. Tous les acteurs du Saas européens doivent donc impérativement rapidement questionner leur stratégie d’hébergement.

Au regard de ces conséquences possibles, les alternatives sont triples : 

1. une évolution de la législation américaine pour se conformer au droit européen (très peu probable au regard du contexte politique américain actuel), 
2. la mise en place d’un nouveau « Privacy Shield », qui, sous pression des entreprises américaines, permettrait à nouveau de légaliser le transfert de données vers les États-Unis. Une telle décision serait une régression regrettable pour la protection des données personnelles,
3. le développement d’un écosystème technologique plus respectueux des données personnelles (et idéalement européen). 

Cette dernière alternative est sans doute celle qui est la plus séduisante. Sans doute s’agit-il de la première étape d’un schisme qui va avoir des répercussions majeures dans les années à venir pour le développement d’une souveraineté numérique européenne : tous les outils aujourd’hui massivement utilisés par les particuliers et les entreprises pourraient être remis en question, pour être remplacés par des outils plus respectueux de la vie privée (et possiblement européens !).

Les actions à mener pour votre site Internet

De manière plus pragmatique, quelles sont les conséquences immédiates si vous êtes propriétaire d'un site Internet ?

Faut-il attendre ? Faut-il changer d'outil ?

Le risque de sanction est réel, et, si la CNIL vous met en demeure, vous n'aurez qu'un petit mois pour réagir.

Néanmoins, migrer vers une autre solution Analytics est un chantier qui peut être complexe et n'est pas exempt de difficultés non plus. Cette bascule, quand nous la menons chez nos clients, prend du temps et nécessite une stratégie réfléchie, tant dans le choix de l’outil que dans l’installation et le paramétrage du nouvel outil. Lors d’une telle bascule il est aussi très précieux de pouvoir importer des données et conserver pendant quelques mois glissants les deux outils afin d’obtenir une base de comparaison.

Aussi, si nous déconseillons une bascule rapide, il est impératif de mettre en œuvre de nombreuses démarches d'analyse et de réflexions, ne serait-ce que pour pouvoir le justifier auprès de la CNIL. Tous les sites européens doivent désormais sérieusement réfléchir à basculer sur une alternative à Google Analytics. 

Aussi, nous ne saurions mieux vous conseiller que d'entamer une démarche très sérieuse d'analyse de votre conformité, de réflexion autour d'une possible migration et de comparaison des différents outils Analytics conformes.

Si vous souhaitez approfondir l'univers du Web Analytics, n'hésitez pas à visionner le replay de notre webinar à ce sujet !