Vous l’avez peut-être vu passer: la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié sur son site officiel des informations complémentaires pour être conforme au RGPD – et cela passe par une méthode de proxyfication.
Dans ce contexte, qu’est-ce que la proxyfication et comment allez-vous pouvoir continuer à tracker et mesurer l’audience de votre site sans risquer de pénalités ?
Pourquoi Google Analytics est jugé non conforme au RGPD
Cela fait 2 ans que la Cour de justice de l’UE a invalidé le Privacy Shield (arrêt du 16 juillet 2020), le dispositif qui permettait d’encadrer les transferts de données personnelles entre l’Europe et les Etats-Unis, estimant que le risque d’accès à ces dernières par les autorités américaines ne respectait pas le droit des ressortissants européens.
Vous connaissez la suite et notamment les événements plus récents : le dépôt de plaintes multiples dans différents Etats-Membres par l’association NOYB a entre autres conduit la CNIL à remettre en cause l’utilisation de Google Analytics par différentes entreprises françaises.
Pour ne citer que quelques exemples, Sephora et Auchan ont fait l’objet de mises en demeure. Dans les faits, n’importe quel site Web français peut faire l’objet d’un contrôle et écoper d’une pénalité s’il ne met pas rapidement en conformité ses données GA.
Les 2 soucis majeurs qui ressortent à l’heure actuelle avec GA aux yeux de la CNIL sont donc les suivants :
La non-anonymisationintégrale des données collectées par l’outil de mesure d’audience. Bien qu’une fonctionnalité d’anonymisation des adresses IP soit bien proposée par Google, elle ne couvre pas l’intégralité des transferts et rien ne garantit qu’elle soit effectuée avant l’envoi de la data vers les Etats-Unis… ce qui laisse potentiellement le champ libre aux autorités américaines pour un accès sans protection de la vie privée.
Le fait que les données collectées soit hébergées sur les serveurs de sociétés dont le siège est installé aux Etats-Unis. Google s’est d’abord défendu en avançant que la situation était théorique, mais dans les faits, les renseignements américains peuvent obtenir facilement un accès aux données d’une entreprise dont le siège social est sur le territoire.
Le problème est donc double : l’anonymisation n’est pas systématiquement mise en œuvre puisqu’optionnelle ET elle risque d’avoir lieu après le transfert, donc les autorités peuvent avoir accès aux données d’IP en clair (notamment si la requête est initiée depuis le terminal de l’utilisateur; elle n’est dans ce cas pas qu’un critère d’identification, mais aussi de localisation)
Note importante : cela signifie que bien que le focus soit mis sur Google Analytics, tout outil de mesure statistique américain aujourd’hui est concerné par les mêmes questions !
La proposition de la CNIL : une méthode complexe de proxyfication
Premier constat de l’autorité française : “une simple modification du paramétrage est insuffisante“.
Et de détailler :
“Une autre idée souvent avancée est celle du recours au « chiffrement » de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site (…) Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.
Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données.”
Voilà, c’est posé et on ne peut plus clair.
Alors que faire ?
La CNIL préconise une solution pour éviter le contact direct entre le terminal de l’internaute et les serveurs de l’outil. En d’autres termes, elle conseille d’avoir recours à un proxy, donc un serveur mandataire.
Cette proxyfication doit servir d’étape indispensable de pseudonymisation des données avant leur transfert vers les serveurs de Google (ou autre outil de mesure d’audience dont le siège est aux US).
Pour ce faire et rendre l’ensemble de l’installation conforme, la proxyfication doit assurer qu’en aucun cas une personne ne pourra être de nouveau identifiée une fois les informations transmises.
Les critères précis pour une proxyfication conforme de votre installation
La CNIL présente plusieurs mesures qu’elle estime nécessaire pour que le processus soit conforme au RGPD :
L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure.
Le remplacement de l’identifiant utilisateur par le serveur de proxyfication
La suppression de l’information de site référent (ou « referer ») externe au site ;
La suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) ;
Le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), tels que les « user-agents ».
L’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, id unique)
la suppression de toute autre donnée pouvant mener à une réidentification.
Les conditions d’hébergement du proxy font également l’objet de recommandations.
Quelles alternatives si tout cela vous paraît trop complexe ?
Nous recommandons depuis plusieurs semaines de mettre en place dès maintenant un module complémentaire Matomo (basé en Europe), afin de pouvoir collecter de la donnée conforme dès maintenant et migrer complètement si le besoin s’en faisait sentir… et ce sans perte d’historique et avec un système similaire à votre installation actuelle Google Analytics (3 puis 4) !
Contactez-nous pour en parler, nos experts tracking & Analytics sont à votre disposition pour toute question et besoin d’accompagnement sur ce sujet.
Marie-Lou Cipolat, co-fondatrice de Marketing Studio, fait le point sur les confusions et malentendus qui règnent autour des solutions exemptées de consentement. Cela fait suite à son post LinkedIn :
“j’en ai marre des solutions qui te vendent la lune en te disant « En fonction du paramétrage de notre solution, tu peux tracker les personnes qui ont dit non aux cookies »
On lui a demandé de nous expliquer le problème et voilà ses réponses concrètes (vous pouvez écouter l’audio ou regarder la vidéo, comme vous le préférez!) :
Comme annoncé récemment, Google Analytics 3 va arrêter de fonctionner en juillet 2023.
Concrètement, vous n’avez donc plus que quelques semaines pour organiser votre migration vers GA4, faute de quoi vous perdrez votre historique à N-1.
Eh oui, il faut s’y prendre dès maintenant !
Voici les dates clés à retenir à ce jour :
1er juillet 2023 : les propriétés Universal Analytics existantes ne seront plus disponibles.
1er octobre 2023 : Le traitement des propriétés Google Analytics 360 sera prolongé une seule fois, et ce jusqu’au 1er octobre 2023.
Passé cette date, les nouveaux appels ne seront plus traités dans Universal Analytics, mais il sera toujours possible d’accéder aux données récoltées précédemment, « pendant une période de 6 mois au minimum ».
Toutefois, Google recommande fortement d’exporter l’historique des rapports pour les entreprises concernées, afin d’éviter toute mauvaise surprise.
Et ensuite ?
Google n’a pas encore fixé la date d’arrêt définitif de l’ancienne version d’Analytics. Ce jour marquera l’impossibilité d’accéder aux rapports de données, ni depuis l’interface, ni depuis l’API.
Pour rappel, Google mise sur cette version GA4 pour se mettre en conformité et sortir de l’illégalité CNIL/UE, d’où une accélération de la transition : “les versions précédentes et actuelles de Google Analytics ne permettent pas d’anonymiser l’adresse IP de l’internaute sans les héberger d’abord en dehors de l’UE. GA4, lui, en est capable…Google Analytics 4 ne stockera plus les adresses IP”
Notre recommandation : migrer vers GA4 à partir de juillet 2022
Pour avoir au minimum N-1 d’historique, il est essentiel de migrer vers Google Analytics 4 d’ici à début juillet.
Exemple de planning de migration :
Activation du tracking standard GA4
Activation du tracking Ecommerce amélioré (si le plan de taggage est déjà implémenté)
Activation du tracking personnalisé GA4: events / objectifs/ rapports et dashboards / dimensions personnalisées / etc.
Le planning de migration est bien sûr à adapter en fonction de votre profil spécifique.
Vous souhaitez organiser votre migration sans perte de données (ni prise de tête?) Echangez dès maintenant avec un expert Analytics
Après les amendes record infligées par la CNIL à Google (150M€) et Facebook (60M€), le jugement autrichien marque une nouvelle étape, très probablement décisive, dans l’histoire des sociétés technologiques américaines en Europe.
Il est temps de comprendre réellement ce qu’impose la RGPD.
Il est temps d’oublier les contournements “techniques” illusoires
Il est temps de repenser sa relation collecte <> client
Un jugement qui porte bien au-delà d’un simple avertissement lié à la Privacy… et qui inquiète toutes les sociétés tech US
Un jugement… Mais quel jugement ?
La saga commence en réalité en juillet 2020. Dans son arrêt Schrems II, la Cour de justice de l’Union européenne a déclaré que les transferts de données personnelles historiquement basés sur l’accord “Privacy Shield” étaient illégaux à cause des programmes de surveillance américains.
C’est en application de cet arrêt que l’Autriche vient de déclarer l’application Google Analytics illégale.
Oui, illégale.
Et il y a pire, puisque que c’est le premier jugement d’une série de 101 plaintes similaires déposées partout en Europe par une association de défense de la vie privée.
Un jugement qui est une bonne nouvelle pour le consommateur
Voyons d’abord le point de vue du consommateur. Là, c’est clair, c’est une bonne nouvelle. On n’a pas envie que nos données personnelles finissent sur les serveurs de la CIA ou de la NSA “par défaut”.
Un jugement qui est une alerte importante pour les annonceurs …
Pour les annonceurs, pas de panique. Le jugement ne n’est pas accompagné (pour l’instant) d’une amende ou autre punition pour le site visé, ni pour Google d’ailleurs. Ça sent la riposte graduée, mais vous conviendrez que l’étau se resserre…
Un jugement qui invite les prestataires à clarifier leur discours
Aujourd’hui, pas mal de fournisseurs de solution jouent sur la connaissance limitée des clients de la RGPD pour vendre plus. En jouant sur les buzzwords comme Exemption de consentement, GA4, Server-Side… Ils promettent de réussir à tracker les internautes, même quand ceux-ci ne consentent pas.
Ce n’est tout simplement pas possible au-delà d’un cahier des charges très clair de la CNIL. La RGPD n’est pas un problème qu’on contourne techniquement, c’est une limite claire à la collecte d’information en fonction du consentement de l’internaute. Pour mémoire, les règles sont vraiment simples :
non, c’est non, sauf ce qui est requis pour faire fonctionner le site techniquement
“je ne sais pas”… C’est non aussi 🙂
oui, c’est oui !
Faut-il s’inquiéter et quand passer à l’action ?
Nous sommes dans une situation de pression sur les techs américaines qui monte de manière régulière. Et rapide. Comme il n’y a pas de date couperet à ce stade, l’urgence est de comprendre le problème avant de se jeter sur les solutions.
Donc je répète :
Il est temps de comprendre réellement ce qu’impose la RGPD
Il est temps d’oublier les contournements “techniques” illusoires
Il est temps de repenser sa relation collecte <> client
En conclusion
De mon côté, j’applique pour l’instant l’adage d’Einstein :
“Si j’avais une heure pour résoudre un problème, je passerais cinquante-cinq minutes à réfléchir au problème et seulement cinq minutes à trouver la solution.”
Vitesse et précipitation, la confusion doit plus que jamais être évitée !
Depuis l’annonce de l’illégalité de Google Analytics par une cour autrichienne, la course aux alternatives s’accélère et vous êtes nombreux à nous demander une recommandation.
L’erreur serait de se ruer sur une solution sans en considérer toutes les facettes et leurs implications à moyen terme.
De notre côté, nous avons entamé un travail de recherche et de test approfondi pour mieux vous accompagner dans cette transition.
Mots d’ordre : exigence, audit, échanges… et prudence. Basculer trop rapidement sur un outil alternatif peut vite se transformer en usine à gaz.
AT Internet, Matomo… les équipes d’Alphalyr ne laissent rien au hasard. Nous travaillons aussi sur une offre adaptée qui sera disponible d’ici fin février : restez dans les parages, suivez-nous sur LinkedIn ou abonnez-vous à notre newsletter pour être tenu(e) au courant !
Alphalyr continue de se baser sur Google Analytics d’ici là.
A date, nous ne recommandons donc aucune solution en particulier et continuons d’explorer les pistes pour vous conseiller (par exemple : AT Internet est un bel outil, mais quel est l’impact de son rachat par une société US?)
Petit rappel contextuel : vous avez sûrement entendu que Google a été épinglé en Autriche pour non-respect du RGPD (les données Google Analytics pouvant être transmises aux US)… et ce n’est que le début de la vague, de nombreuses plaintes étant en cours d’examen à travers l’Europe.
La question que l’on nous pose régulièrement est donc la suivante : vers quel outil alternatif à Google Analytics se tourner ?
De ce que l’on comprend aujourd’hui (et on continue en mode “détectives” 🕵️🕵️♂️) :
🇪🇺 Un outil dont le siège social est en Europe permettrait de se protéger de déconvenues supplémentaires, puisque la loi américaine impose aux sociétés US de leur donner accès aux données utilisateurs si la sécurité l’exige.
💻 Un outil similaire à GA dans sa prise en main et basé sur les UTMs pourrait faciliter la transition et ne pas bousculer toutes vos habitudes
Beaucoup d’entre vous nous demandent en considérant des outils alternatifs : “sont-ils bien exemptés de consentement” ?
Alors, oui, mais on en a déjà parlé sur notre blog : l’exemption de consentement est une posture marketing qui ne solutionne ni ne révolutionne les soucis de tracking. Les infos remontées sont généralement très peu exploitables (ex : une liste de referrers et à côté, le trafic venu généré cette liste, ou encore GCLID, fbclid etc mais sans détail par campagne).
Le consentement, ce n’est pas 50 Shades of Grey : oui = tracking, non = pas de tracking.
C’est un autre sujet, mais il est bon de le rappeler vu que la question nous est régulièrement posée avec pas mal de malentendus sur les solutions alternatives disponibles sur le marché. L’objectif principal doit être de se concentrer sur une collecte des données en France et gardées en Europe.
OK on résume : avant de risquer une interdiction de Google Analytics, se tourner vers une alternative qui ne se prendra pas les mêmes attaques que Google implique de choisir une solution locale RGPD compliant, fiable et très peu onéreuse.
Stay tuned : on boucle l’enquête et on vous tient au courant.
PS : le sujet vous inquiète et vous avez besoin d’en parler avec un expert de l’équipe ? Envoyez un MP à Marie-Lou ou Bertrand (ou un commentaire sous cet article, on vous répondra)
