Après les amendes record infligées par la CNIL à Google (150M€) et Facebook (60M€), le jugement autrichien marque une nouvelle étape, très probablement décisive, dans l’histoire des sociétés technologiques américaines en Europe.
Il est temps de comprendre réellement ce qu’impose la RGPD.
Il est temps d’oublier les contournements “techniques” illusoires
Il est temps de repenser sa relation collecte <> client
Un jugement qui porte bien au-delà d’un simple avertissement lié à la Privacy… et qui inquiète toutes les sociétés tech US
Un jugement… Mais quel jugement ?
La saga commence en réalité en juillet 2020. Dans son arrêt Schrems II, la Cour de justice de l’Union européenne a déclaré que les transferts de données personnelles historiquement basés sur l’accord “Privacy Shield” étaient illégaux à cause des programmes de surveillance américains.
C’est en application de cet arrêt que l’Autriche vient de déclarer l’application Google Analytics illégale.
Oui, illégale.
Et il y a pire, puisque que c’est le premier jugement d’une série de 101 plaintes similaires déposées partout en Europe par une association de défense de la vie privée.
Un jugement qui est une bonne nouvelle pour le consommateur
Voyons d’abord le point de vue du consommateur. Là, c’est clair, c’est une bonne nouvelle. On n’a pas envie que nos données personnelles finissent sur les serveurs de la CIA ou de la NSA “par défaut”.
Un jugement qui est une alerte importante pour les annonceurs …
Pour les annonceurs, pas de panique. Le jugement ne n’est pas accompagné (pour l’instant) d’une amende ou autre punition pour le site visé, ni pour Google d’ailleurs. Ça sent la riposte graduée, mais vous conviendrez que l’étau se resserre…
Un jugement qui invite les prestataires à clarifier leur discours
Aujourd’hui, pas mal de fournisseurs de solution jouent sur la connaissance limitée des clients de la RGPD pour vendre plus. En jouant sur les buzzwords comme Exemption de consentement, GA4, Server-Side… Ils promettent de réussir à tracker les internautes, même quand ceux-ci ne consentent pas.
Ce n’est tout simplement pas possible au-delà d’un cahier des charges très clair de la CNIL. La RGPD n’est pas un problème qu’on contourne techniquement, c’est une limite claire à la collecte d’information en fonction du consentement de l’internaute. Pour mémoire, les règles sont vraiment simples :
non, c’est non, sauf ce qui est requis pour faire fonctionner le site techniquement
“je ne sais pas”… C’est non aussi 🙂
oui, c’est oui !
Faut-il s’inquiéter et quand passer à l’action ?
Nous sommes dans une situation de pression sur les techs américaines qui monte de manière régulière. Et rapide. Comme il n’y a pas de date couperet à ce stade, l’urgence est de comprendre le problème avant de se jeter sur les solutions.
Donc je répète :
Il est temps de comprendre réellement ce qu’impose la RGPD
Il est temps d’oublier les contournements “techniques” illusoires
Il est temps de repenser sa relation collecte <> client
En conclusion
De mon côté, j’applique pour l’instant l’adage d’Einstein :
“Si j’avais une heure pour résoudre un problème, je passerais cinquante-cinq minutes à réfléchir au problème et seulement cinq minutes à trouver la solution.”
Vitesse et précipitation, la confusion doit plus que jamais être évitée !
Depuis l’annonce de l’illégalité de Google Analytics par une cour autrichienne, la course aux alternatives s’accélère et vous êtes nombreux à nous demander une recommandation.
L’erreur serait de se ruer sur une solution sans en considérer toutes les facettes et leurs implications à moyen terme.
De notre côté, nous avons entamé un travail de recherche et de test approfondi pour mieux vous accompagner dans cette transition.
Mots d’ordre : exigence, audit, échanges… et prudence. Basculer trop rapidement sur un outil alternatif peut vite se transformer en usine à gaz.
AT Internet, Matomo… les équipes d’Alphalyr ne laissent rien au hasard. Nous travaillons aussi sur une offre adaptée qui sera disponible d’ici fin février : restez dans les parages, suivez-nous sur LinkedIn ou abonnez-vous à notre newsletter pour être tenu(e) au courant !
Alphalyr continue de se baser sur Google Analytics d’ici là.
A date, nous ne recommandons donc aucune solution en particulier et continuons d’explorer les pistes pour vous conseiller (par exemple : AT Internet est un bel outil, mais quel est l’impact de son rachat par une société US?)
Petit rappel contextuel : vous avez sûrement entendu que Google a été épinglé en Autriche pour non-respect du RGPD (les données Google Analytics pouvant être transmises aux US)… et ce n’est que le début de la vague, de nombreuses plaintes étant en cours d’examen à travers l’Europe.
La question que l’on nous pose régulièrement est donc la suivante : vers quel outil alternatif à Google Analytics se tourner ?
De ce que l’on comprend aujourd’hui (et on continue en mode “détectives” 🕵️🕵️♂️) :
🇪🇺 Un outil dont le siège social est en Europe permettrait de se protéger de déconvenues supplémentaires, puisque la loi américaine impose aux sociétés US de leur donner accès aux données utilisateurs si la sécurité l’exige.
💻 Un outil similaire à GA dans sa prise en main et basé sur les UTMs pourrait faciliter la transition et ne pas bousculer toutes vos habitudes
Beaucoup d’entre vous nous demandent en considérant des outils alternatifs : “sont-ils bien exemptés de consentement” ?
Alors, oui, mais on en a déjà parlé sur notre blog : l’exemption de consentement est une posture marketing qui ne solutionne ni ne révolutionne les soucis de tracking. Les infos remontées sont généralement très peu exploitables (ex : une liste de referrers et à côté, le trafic venu généré cette liste, ou encore GCLID, fbclid etc mais sans détail par campagne).
Le consentement, ce n’est pas 50 Shades of Grey : oui = tracking, non = pas de tracking.
C’est un autre sujet, mais il est bon de le rappeler vu que la question nous est régulièrement posée avec pas mal de malentendus sur les solutions alternatives disponibles sur le marché. L’objectif principal doit être de se concentrer sur une collecte des données en France et gardées en Europe.
OK on résume : avant de risquer une interdiction de Google Analytics, se tourner vers une alternative qui ne se prendra pas les mêmes attaques que Google implique de choisir une solution locale RGPD compliant, fiable et très peu onéreuse.
Stay tuned : on boucle l’enquête et on vous tient au courant.
PS : le sujet vous inquiète et vous avez besoin d’en parler avec un expert de l’équipe ? Envoyez un MP à Marie-Lou ou Bertrand (ou un commentaire sous cet article, on vous répondra)
Coup de tonnerre dans l’univers des GAFA en Europe : Google Analytics est reconnu illégal par les autorités autrichiennes.
L’Autorité autrichienne de la protection des données (DPA, l’équivalent de la CNIL en France) estime que le transfert des données recueillies par GA vers les Etats-Unis constitue une violation du droit européen tel que le RGPD l’encadre.
On pourrait s’en tenir à une décision retentissante mais isolée – ce serait néanmoins une erreur : le jugement autrichien est l’arbre qui cache à peine la forêt.
L’Autriche n’est en effet que le 1er pays à sanctionner Google Analytics dans le cadre de 101 plaintes déposées auprès de 30 autorités de protection des données en Europe par NOYB ( Facebook Connect est également dans le viseur).
Qu’est-ce que cela signifie concrètement ?
Tout simplement que le cas autrichien pourrait être le déclencheur d’une vague d’interdictions ou de limitations de Google Analytics en Europe – à des degrés plus ou moins radicaux bien sûr. Actuellement par exemple, les Pays-Bas et de nombreux autres pays évaluent si GA enfreint le RGPD.
Ce qui pose problème : la transmission pourtant interdite des données récoltées auprès des utilisateurs européens
Siècle Digital le décrit parfaitement : “Selon le régulateur, le géant américain aurait partiellement ignoré l’annulation de l’accord « Privacy Shield » par la Cour de justice de l’Union en 2020. Comme toutes les données d’Analytics sont hébergées aux États-Unis, les utilisateurs européens sont également touchés par cette collecte de données. Des centaines d’entreprises européennes utilisent Google Analytics, et transmettent donc toujours leurs données récoltées à Google.”
“Austria’s data protection authority ruled that a local web publisher’s implementation of Google Analytics did not provide an adequate level of protection, on the grounds that U.S. national security agencies have a theoretical ability to access user data. But Google has offered Analytics-related services to global businesses for more than 15 years and in all that time has never once received the type of demand the DPA speculated about. And we don’t expect to receive one because such a demand would be unlikely to fall within the narrow scope of the relevant law.”
Traduction : “L’autorité autrichienne de protection des données a jugé que la mise en œuvre de Google Analytics par un éditeur de sites web local n’offrait pas un niveau de protection adéquat, au motif que les agences de sécurité nationale américaines ont théoriquement la possibilité d’accéder aux données des utilisateurs. Mais Google offre des services liés à Analytics à des entreprises internationales depuis plus de 15 ans et, pendant tout ce temps, n’a jamais reçu le type de demande sur lequel l’autorité de protection des données a spéculé. Et nous ne nous attendons pas à en recevoir une, car il est peu probable qu’une telle demande relève du champ d’application étroit de la loi applicable.”
Pas d’encadrement des transferts de données UE / USA = pas d’issue visible
Or faute d’accord entre l’UE et les USA en vue d’encadrer les transferts de données vers les Etats-Unis, la situation reste insoluble pour Google, qui appelle d’ailleurs à un nouveau “data transfer framework” entre les continents (lire à ce sujet le blog Google).
A suivre donc. Abonnez-vous pour recevoir les mises à jour de cette page.
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Vous pouvez accepter ou refuser, comme d'habitude sur le WebOK !Non
