Dérégulation ? Bonjour à toutes et tous. Le fait marquant…
Alignement Courte semaine, long week-end, RnD Café Ristretto (format très…
Toujours très dense C'est une semaine comme les autres dans…
Priorité Formation Bonjour à toutes et à tous, Encore une…

CNIL vs Google Analytics : la bataille est lancée

Google Analytics vs CNIL : une solution ?
Google Analytics jugé illégal par la CNIL. © Photo : Myriam Jessier

Le 10/02/22, la CNIL déclare Google Analytics illégal, la solution Analytics ne respectant pas le Règlement Général sur la Protection des données (RGPD). Depuis, les acteurs du marketing numérique s’activent : que faire ? RnD vous explique la situation et les enjeux au fur et à mesure des annonces.

Google Analytics & RGPD… Clap de fin !

11 février 2022

Le communiqué est tombé. Ce n’est pas une si grande surprise mais là ça y est, les choses sont claires….

Petit mémo à propos du RGPD

  • Rappel 1 : le RGPD ce n’est pas que les cookies. Il concerne l’ensemble des datas à caractère personnel : IP, informations tierces, informations croisées avec d’autres outils… Nous pouvons citer Google Ads et les actions de remarketing par exemple.
  • Rappel 2 : le RGPD est régi par la CNIL en France. Les règles et limites varient en fonction des pays de l’UE. Ces derniers ne sont pas encore à l’unisson (future loi UE ePrivacy) concernant la protection des données personnelles.

En attendant cette loi ePrivacy (le RGPD à l’échelle de l’UE, bon… on a encore bien un ou deux an(s) même s’ils accélèrent) et après le rejet du Privacy Shield (certification de manipulation des données aux États-Unis) : le RGPD conclue ENFIN avec un point de vue ferme vis-à-vis de Google Analytics.

Ce qu’il faut retenir de la décision de la CNIL : 

  • Au regard du RGPD, et plus particulière en violation des articles 44, les données recueillies dans Google Analytics sont susceptibles d’être envoyées aux États-Unis. Quelle surprise dites donc…
     
  • Google Analytics 4 (GA4) est encore en béta, ne respecte pas ses promesses et n’est pas RGPD-compliant. Cela explique son faible niveau d’intégration.

Les gestionnaires de sites web et les responsables de traitement ont un mois pour se mettre en conformité.

Le RGPD (avec mise en place CMP – Consent Management Platform) génère un vrai conflit depuis deux ans entre le DPO (Délégué à la protection des données)/service juridique et les services marketing (qui poussent au contraire les outils de suivis) des sites internet qui utilisent ces outils/données pour piloter leurs actions et contrôler la performance ! Le tout avec des conséquences d’intégration technique non neutres…

Soyons honnêtes : la majeure partie des services communication/marketing (agences comme clients finaux) essayaient au maximum de continuer l’utilisation de Google Analytics, et ce pour de multiples raisons. Parmi elles : habitudes, configurations, compréhension des données des internautes, performance, facilité de maillage avec d’autres outils marketing, …

Les zones grises du RGPD-compliant ?

  • Les solutions intermédiaires (jouant dans la zone grise) comme l’anonymisation IP et ne stockant pas les cookies étaient louables et faisaient pattes blanches. Néanmoins, elles ne sont plus acceptées maintenant.
     
  • Les solutions « cachées » comme le chargement des données (couches de données ou data layer) côté serveur (server-side, et donc non visible côté front/navigateur) sont également non légales s’il y a un contrôle (mais bien plus dur à contrôler, certes…).
     
  • Ne rien faire et risquer gros : ne rien dire, ne pas se mettre en conformité, attendre de voir si on est « pris sur le fait » ou mettre un bandeau cookie « So’2016 » uniquement pour le principe visuel sans aucune réalité technique de gestion de cookie derrière…

Alors… on fait quoi ? 

  • S’il y a consentement clair et exprimé en conformité au RGPD via un gestionnaire (un CMP) : le gestionnaire de site pourra charger ce qu’il veut.
     
  • S’il n’y a pas de consentement : il faut un outil de pilotage des datas qui soit RGPD-compliant (AT Internet ou Matomo pour ne citer qu’eux).
     
  • Les solutions côté serveurs avec les analyseurs de logs pourront être exploitées (dans un cadre, encore une fois, RGPD-compliant).

Tout semble indiquer que l’on se dirige vers des solutions mixtes avec ou sans consentement !

Sortiront alors du lot ceux qui arrivent à avoir des solutions ou des mélanges de solutions avec des regroupements. Plus que ça, ceux qui bénéficieront d’une compréhension claire des données qu’ils auront sous les yeux.

D’un outil à un autre, ce ne sont pas les mêmes données et pas les mêmes valeurs. Pire, ce sont parfois les mêmes termes mais pas les mêmes méthodes de collecte…

« Le grand ménage commence »

18 février 2022

C’est l’avis de Petitweb que nous partageons totalement suite à l’annonce de la CNIL. En Allemagne, l’attention est braquée sur Google Fonts car même les typos de Google aspirent des données.

Qui sera le prochain ? Google Ads ? Nicolas Malo, l’une des figures du data analytics en France, nous rappelait que l’identifiant Google Ads, le « gclid », est considéré par la CNIL comme une donnée personnelle ! Ça va être sport mais les solutions alternatives sont identifiées. Les déploiements avaient d’ailleurs déjà commencé dans une logique de test chez certains de nos clients.

La CNIL dévoile son plan stratégique 2022-2024

25 février 2022


Il y a quelques jours, la présidente de la CNIL, Marie-Laure Denis, a dévoilé les grands axes du plan stratégique 2022-2024 de l’institution.

Trois grands axes à retenir et à prendre en compte dans vos outils :

  1. Lutte contre la prospection commerciale subie.
  2. Le télétravail avec en ligne de mire certains outils de surveillance déployés par les employeurs.
  3. L’utilisation du Cloud avec notamment le risque de transfert de données personnelles en dehors de l’Union Européenne. Attention gros gros sujet avec de nombreuses répercussions à venir ! 

Les premières conséquences de l’interdiction de Google Analytics

04 mars 2022

Mise en demeure de Google Analytics par la CNIL : quelles conséquences ? Nous pouvons déjà en identifier quatre.

  1. Un renchérissement des coûts (rappelons que Google Analytics est un outil gratuit, au contraire des solutions alternatives) sans compter qu’il faudra payer encore plus pour un niveau de fonctionnalités équivalent.
  2. La remise en question des intégrations qui facilitent l’interconnexion des outils.
  3. Potentiellement de moindres performances commerciales, Google et son ciblage puissant dominant le marché.
  4. Le temps de formation et d’adaptation à la solution choisie ne sont pas à négliger.

Les semaines se ressemblent…

18 mars 2022

Rapide mise à jour sur le sujet qui nous occupe depuis trois semaines… Mais pas de vraie nouveauté du côté de Google. Lundi, Petitweb donnait le mode d’emploi pour se séparer de Google Analytics. Les alternatives : AT Internet (mais qui a des hébergements chez Amazon), puis en France : MatomoEulerian, … Cela confirme ce que nous vous disions : la boite de pandore est ouverte. 

Quels seront les prochains sur la liste ? Facebook Connect, Google Connect, Gmail, Salesforce, Shopify, Amazon Web Services, Hotjar, les solutions de tests A/B de Google, … ? On garde son sang froid, on prépare les alternatives et on attend de voir, prêts à dégainer en 2-3 semaines.

Google Analytics 4 : une réponse pour satisfaire la CNIL ?

25 mars 2022

Google Universal Analytics (UA) vit ses derniers jours, c’est décidé. Le géant du numérique l’a annoncé : les propriétés UA cesseront de fonctionner dans un peu plus d’un an (1er juillet 2023 et 1er octobre 2023 pour UA 360). Ainsi, Google Analytics ne traitera plus les nouvelles données entrantes sur ces propriétés et les données historiques resteront accessibles six mois.

Le géant Google nous annonce donc qu’il est temps de prendre en main Google Analytics 4 (GA4).

Tous les utilisateurs sont concernés sauf ceux qui ont directement créé des propriétés sur GA4. Pour savoir si vous êtes impacté, rien de plus simple. En effet, si la propriété créée débute par « UA-xxxxxx » alors préparez-vous au changement. Notons que cette migration est lourde avec de multiples impacts. Ce n’est pas la même technologie, ni la même interface, désignation de statistiques connues et nouvelles statistiques, maillage tiers, etc.

Une déclaration soudaine (mais très attendue), on se demande bien pourquoi…

Serait-ce une réponse du géant de Mountain View à la CNIL ayant jugé Google Analytics illégal ? Dans tous les cas, Google assure donner la priorité à la confidentialité des utilisateurs. Il déclare même qu’elle est au cœur du nouveau modèle. Rien de nouveau donc. Ce n’est que ce qui était annoncé depuis le début (mais qui n’était pas pleinement fonctionnel et/ou n’était pas tout à fait en accord avec la CNIL).

Google admet qu’Universal Analytics est une « méthodologie de mesure [qui] devient rapidement obsolète » puisqu’ancrée dans « le web de bureau, des sessions indépendantes et des données plus facilement observables à partir de cookies« . GA4, de son côté, ne repose plus exclusivement sur les cookies. Nous nous souvenons de la tentative des FLoC (flux des cohortes) refusée par la CNIL…

On vous explique les annonces.

  • GA4 utilise un modèle de données basé sur les événements. Ça peut être un clic sur une page ou un bouton en particulier, une inscription à une newsletter, etc. Nous noterons que la notion de “session” n’existe plus ! C’est maintenant un agrégat d’autres datas qui portera la donnée centrale de “l’engagement”. A la clé, un contrôle annoncé par Google comme étant “plus complet et granulaire”.
     
  • GA4 ne stocke plus les adresses IP des utilisateurs. La version actuelle ne permet pas de les anonymiser sans les héberger au préalable en dehors de l’UE. Là encore, rien de neuf sous le soleil… Mesure déjà annoncée et déjà possible avec une déclaration dédiée du tag actuel Universal. Google ne fait ici qu’une réponse marketing, en “riposte graduée”.

Concrètement, pour avoir accès à un historique de données confortable, il faut se mettre dès à présent à GA4 si on en croit Google.

Alors pourquoi passer à une solution alternative à Google Analytics si cette version est apte à satisfaire la CNIL (et ses homologues européens) et sa demande vis-à-vis de la politique de confidentialité ? 

Guillaume Regouby, Directeur du Pôle Trafic chez RnD vous livre ses éléments de réponse.

“En définitive, cette annonce n’en est pas une car avec 15 mois d’avance, cette date de fin programmée était attendue ! Le jeu du chat et de la souris avec la CNIL prend doucement fin et accélère la transition vers un monde sans cookies respectueux (au possible) des données à caractères personnelles.

Cette réponse de Google n’annonce en soit rien de nouveau. Effectivement, d’un point de vue légal dans les conditions actuelles, il n’y a pas de nouveaux éléments. La solution Analytics n’est pas plus légale qu’avant. Cette annonce est un effet marketing avec un focus sur un point précis : l’IP.

Les données transitent toujours via les US (avec un droit de regard du gouvernement donc). Qui plus est, nous devons faire confiance à la bonne parole de Google pour que les données à caractère personnel ne soient pas stockées/utilisées/agglomérées/rapatriées.

L’évolution attendue est tout autre. Quid du stockage de la data en Europe ou dans un web étatique par pays ? C’est cela qui répondrait au souci légal actuel. Ce n’est qu’une étape cependant, le “final boss” serait alors… la loi FISA ? Un accord global UE-US ? La loi ePrivacy pour harmoniser les avis pour tous les pays européens ? N’oublions pas que la CNIL n’a autorité qu’en France.

En conclusion, les solutions alternatives risquent de prendre du volume et de se pérenniser dans le paysage numérique. N’oublions pas qu’avec ce futur monde sans cookies, Google Analytics a beaucoup moins d’intérêt vis-à-vis des autres solutions Analytics ! Mais nous ne doutons pas que les services marketing et sociétés vivant de l’audience trouveront des passerelles intéressantes pour continuer de qualifier et suivre leur audience

Pour finir, une question plus économique se pose : Google Analytics est un outil essentiellement gratuit. Doit-on s’attendre à de tels efforts techniques de la part de Google pour des clients gratuits ? Doit-on s’attendre à une évolution de son modèle ?

En attendant, RnD avance avec ses clients vers des solutions tierces, respectueuses de la CNIL/RGPD et pérennes. Wait and see.”

Série Google Analytics-CNIL : nouvel épisode en ligne

10 juin 2022

Après quelques mois de silence, la CNIL vient de reprendre la parole pour éclaircir ce qu’elle attend des organismes utilisant Google Analytics. Pour rappel, la CNIL estime que Google n’a pas mis en place les mesures nécessaires pour exclure la possibilité d’un accès aux données des résidents européens par les autorités américaines (dont les services de renseignement américains). Le transfert de données vers les États-Unis se fait donc illégalement.

Savez-vous que plus d’une entreprise sur deux craint un contrôle de la CNIL concernant le RGPD ? Elles le peuvent puisque l’autorité a réinsisté sur le fait que, si vous utilisez Google Anaytics de la même façon que les organismes mis en demeure, alors vous en avez une utilisation illégale. L’ensemble des utilisateurs doivent se mettre en conformité. C’est en tout cas l’objectif visé. 

  • Alors, qu’en est-il de Google Analytics aujourd’hui ?

Rien n’a changé… Les clauses contractuelles proposées par défaut par l’outil de mesure d’audience ne peuvent pas assurer un « niveau de protection suffisant en cas de demande d’accès d’autorités étrangères« . Même les mesures supplémentaires mises en place par le géant du numérique sont insatisfaisantes. 

Une question se pose alors : pouvons-nous paramétrer l’outil analytics afin de ne pas réaliser de transferts de données hors de l’UE ? La réponse est claire : non. En effet, Google a déclaré que toutes les données collectées par le biais de son outil sont hébergées aux US. Même avec le consentement explicite des personnes, il n’y a pas de dérogation possible puisqu’il s’agit de transferts systématiques.

Concernant le transfert de données anonymes, là encore, Google ne répond pas pleinement aux exigences. En effet, les données sont « pseudonymisées » mais pas anonymisées. Certes, Google utilise les adresses IP anonymement mais cela ne concerne pas l’ensemble des transferts. De plus, rien ne nous prouve que cette anonymisation se réalise avant l’arrivée des données aux États-Unis.

Cerise sur le gâteau, les identifiants uniques ne rendent pas impossible le fait de rendre les données identifiables et le chiffrement des données est insuffisant (les autorités US pouvant, si elles le demandent, accéder aux données en clair). Compliqué… 

En résumé, le problème réside dans le fait qu’il y ait contact direct, par le biais d’une connexion HTTPS, entre le terminal utilisé par l’internaute et les serveurs Google. Une solution possible mais complexe existe : la proxyfication. Sous un nom un poil barbare, il s’agit finalement d’utiliser un serveur mandataire (proxy) pour éviter ce contact direct. Une fois n’est pas coutume, un ensemble de critères sont à respecter pour empêcher une réidentification des internautes. Nous vous invitons à prendre connaissance des conditions de conformité.

  • Et les solutions alternatives dans tout ça ?

Admettons que Google Analytics ne transfert pas les données des résidents européens aux Etats-Unis. La CNIL précise que, de toute façon, avoir recours à des solutions extra européennes n’est pas une bonne pratique. Ces dernières sont susceptibles de présenter des difficultés en matière d’accès aux données (par les autorités étrangères).

Il n’existe pas 36 solutions à l’heure actuelle avec les informations dont nous disposons : se tourner vers un prestataire proposant des garanties suffisantes

En septembre 2021, la CNIL publie une liste d’outils analytics exempts de consentement. Par ailleurs, elle est toujours d’actualité. Attention tout de même, elle n’examine pas encore les enjeux des transferts internationaux.

Finalement, des transferts de données entre l’Europe et les Etats-Unis seraient, en pratique, possibles à une condition : la mise en place de mesures techniques, juridiques et organisationnelles supplémentaires. Wait and see… 

Enfin, vous l’espériez peut-être mais la CNIL ne s’exprime pas (encore) sur les réponses apportées par Google avec Google Analytics 4 (GA4). N’attendons pas et prenons les devants : préparez les plans B. A voir s’il faudra les activer ou non et si oui quand ?

42 plaintes au sujet de l’utilisation illégale de Google Analytics

8 juillet 2022

La CNIL a vu déferler il y a quelques jours 42 plaintes au sujet de l’utilisation illégale de Google Analytics (voir notre article sur le sujetpar les médias en ligne. En effet, sur une liste totale de 257 médias recensés, le développeur David Libeau a décidé de commencer par les 42 plus gros. En pratique, une infime partie des sites web répondent aux nouvelles exigences de la CNIL en la matière. Le principe du « pas vu, pas pris » se complique… Chaque site web a des obligations et des responsabilités, à l’instar des collectivités locales. A ces dernières a été partagé un guide pour les aider à la lutte contre les cybermenaces.

…qui vont bien au-delà des sites d’édition !

9 septembre 2022

Le Journal du Net annonce que suite aux mises en demeures envoyées par la CNIL cet été à 42 éditeurs concernant leur utilisation de Google Analytics, il se pourrait en fait que l’organisme s’attaque à toute la chaîne publicitaire online et plus globalement tout outil américain (Google Connect, Facebook pixel, Salesforce, Mailchimp, Hubspot…). 

Le marché attend avec une certaine fébrilité les résultats du Privacy Shield 2 (accord entre l’UE et les US) qui n’est toujours pas prêt. L’Union Européenne a par ailleurs décidé d’installer un bureau à San Francisco pour se rapprocher des pôles de décision des GAFAM afin de « promouvoir une transformation numérique mondiale »…

Le Monde partage son retour d’expérience sur la décision de la CNIL de déclarer illégal Google Analytics. Le quotidien du soir explique comment ils ont tout débranché cet été au profit d’AT Internet solution française rachetée par Piano, une entreprise… américaine ! 

Le Privacy Shield 2 avance

30 septembre 2022

C’est une information importante pour la profession qui est tombée mardi et elle nous vient de la Maison Blanche qui devrait publier la semaine prochaine son décret tant attendu sur les transferts de données transatlantiques.

Ce futur décret (Privacy Shield 2) est conçu pour répondre aux préoccupations européennes concernant les pratiques de surveillance aux États-Unis.

Ne pas crier victoire trop vite ! Attendre et analyser ce qui sera peut-être une évolution significative dans la bataille qui oppose l’UE aux US en matière de protection des données personnelles avec toutes les conséquences que nous vivons depuis plusieurs mois (impact du cloud act, illégalité de Google Analytics dans certains pays, etc…).

Et donc ?  En quoi cela nous concerne, nous, acteurs du numérique ?

Nous pourrions assister à un retournement qui se résumerait ainsi : Google Analytics ne « serait » plus illégal en Europe non pas car les données ne pourraient plus être transmises aux autorités US, mais parce que si c’est le cas, vous pourriez lancer un recours… La belle affaire ! 

Attendons la réponse européenne… a priori pas avant le printemps 2023. D’ici là, on reste fidèle à notre ligne directrice depuis quelques mois chez RnD : les plans B sont prêts à être activés en quelques jours si le législateur accélère.

Si vous voulez fouiller le sujet : tout comprendre avec Raphaël Richard : vidéo pour résumertraduction du texte, la tribune du député modem Latombe qui connaît le sujet, des analyses (ici) et le regard d’une avocate à la Cour d’Appel.

Un projet de décision sur la collecte et le traitement des données, un !

6 janvier 2023

Les lobbyistes de Google réussiront-ils à faire maintenir Google Analytics ? En réaction au récent décret du président américain Biden limitant certaines collectes et certains traitements de données par la communauté du renseignement, la Commission Européenne a publié avant Noël un projet de décision qui, s’il est finalement adopté, réduira considérablement les obstacles aux transferts de données entre l’UE et les États-Unis.
Le Comité Européen de Protection des Données (EDPB) doit encore l’approuver, et les recours seraient déjà prêts, mais pour l’instant, il s’agit d’une étape importante pour les GAFAM. 

Le retour de Google Analytics ?

Au revoir Universal Analytics communément appelé Google Analytics !

30 juin 2023

Ca y est c’est terminé. Demain 1er juillet, Universal Analytics ne sera plus, cet outil qui est apparu en 2005 (!) et qui permettait gratuitement (en grande majorité) de suivre vos audiences numériques.

Cette ancienne version ne sera plus en mesure de traiter de nouvelles données, signifiant que les rapports futurs, les audiences et les produits liés ne recevront plus de nouvelles données comme les conversions. Cependant, les entreprises pourront toujours accéder aux rapports historiques. 

GA4 a été conçu pour répondre aux besoins d’un monde plus connecté, avec une attention accrue portée à la confidentialité des données. Pour autant, la CNIL ne valide toujours pas.

Coup de tonnerre, les transferts de données personnelles UE <> USA peuvent s’effectuer librement !

17 juillet 2023

« Par une décision du 10 juillet, la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l’UE vers certains organismes états-uniens peuvent désormais s’effectuer librement, sans encadrement spécifique à condition que les organisations respectent le nouveau ‘cadre de protection des données’, dont la liste sera prochainement rendue publique par le ministère américain du commerce. »

Nous attendons tous avec beaucoup d’impatience la dite liste. Google, pas Google ? Le suspense est à son comble…

Voir l’article de la CNIL (dont on attend la réaction…).

Voir le communiqué de presse de la Commission européenne.

Sérieusement ! Retour un an et demi en arrière.
Le député de Vendée Philippe Latombe (Modem et Indépendants) s’insurge.

Il déplore l’incapacité de la Commission européenne à s’affirmer devant les États-Unis et souligne que la décision actuelle n’était pas la direction envisagée lors des échanges en avril dernier et que celle-ci va à l’encontre de la résolution adoptée par les députés européens.

En bref : investissements américains en matériel militaire dans le conflit ukrainien et gaz d’outre-Atlantique, contre les données des Européens. La France n’a pas réussi à faire entendre sa voix !

Dans cette incertitude juridique, le temps joue en faveur des géants américains et accentue leur avance déjà importante au détriment de l’écosystème européen. Plusieurs voix imaginent déjà un recours devant la Cour de Justice de l’Union Européenne qui pourrait annuler les dispositions prises.

Quoi qu’il en soit, au niveau opérationnel, de nombreuses questions ne vont pas tarder à surgir… Quid des outils d’analytics de la suite Google ? Des amendes passées ? Des procédures en cours… 

Un an et demi pour rien ?