Google Analytics face au RGPD : pourquoi vos données ne sont pas en sécurité avec Google
Le service Universal Analytics (UA) de Google, jusqu'ici gratuit, devrait disparaître en 2023 pour céder la place aux offres standard et premium de Google Analytics 4 (GA4). Dans la mesure où, dans une entreprise « data-driven », les décideurs s'appuient sur des données historiques couvrant parfois 13 mois, les équipes d'analystes doivent agir rapidement de façon à limiter autant que possible les perturbations qu'une telle évolution induit pour leur activité.
Cette migration intervient à un moment inopportun. Google se trouve en effet en mauvaise posture pour avoir enfreint des réglementations en matière de protection de la vie privée à travers le monde.
Pour choisir entre basculer vers Google Analytics 4 et changer de fournisseur, les décideurs doivent bien saisir le contexte sur la question de la confidentialité, et savoir comment et pourquoi Google a été jugé non conforme.
Les réglementations en matière de protection de la vie privée sont établies et appliquées pays par pays. Cela étant, le RGPD a défini le cadre de la protection internationale des données et sert de référence quant aux obligations auxquelles sont tenues les entreprises.
Dans cet article, nous allons voir où se situe Google par rapport aux critères européens de protection de la vie privée. Nous analyserons ainsi les insuffisances des solutions analytics de ce géant de la technologie.
Google Analytics non conforme au RGPD : le pourquoi
Les GAFAM ont ces dernières années commis différentes infractions à la réglementation sur la confidentialité des données, Google figurant au premier rang des contrevenants. Les autorités de réglementation comme les organismes de surveillance ont déposé à plusieurs reprises des plaintes auprès de diverses agences de protection des données (APD), accusant Google de violer les lois européennes en la matière.
Cette situation a atteint son paroxysme en 2020, lorsque la Cour de justice de l'Union européenne a invalidé le bouclier de protection des données (« Privacy Shield ») entre l'UE et les États-Unis, ne reconnaissant plus les États-Unis comme un pays offrant un niveau suffisant de protection des données à caractère personnel. La conséquence de cette décision ? Le transfert de données personnelles des pays couverts par le RGPD vers les États-Unis est désormais interdit.
La situation en quelques mots :
- Google Analytics et, par extension, ses produits Universal Analytics et Google Analytics 4, ne sont PAS conformes au RGPD depuis l'invalidation en 2020 du bouclier de protection des données.
- Les sites qui se trouvent dans des pays membres de l'UE comme la France et utilisent Universal Analytics ou Google Analytics 4 pour collecter des données personnelles de citoyens européens sont en infraction avec le RGPD.
- La mise à jour proposée du bouclier de protection des données (le Cadre transatlantique de protection des données), qui permettrait un partage sûr et conforme des données entre l'Europe et les États-Unis, n'a pas encore été rédigée. Aucune décision finale n'est d'ailleurs attendue avant 2023, date à laquelle Google devrait retirer son service Universal Analytics.
Les implications à l'échelle mondiale :
Début 2022, l'utilisation de Google Analytics a été officiellement jugée illégale par les autorités de protection des données autrichienne, française et italienne. Cette décision découle du fait que Google ne garantit pas que les données européennes restent stockées conformément aux exigences du RGPD. Le mouvement consistant à sanctionner Google se répand dans toute l'Europe et devrait s'étendre au reste du monde, à mesure que d'autres pays rattrapent le retard pris par rapport à l'UE en matière de protection de la vie privée.
Google Analytics non conforme au RGPD : le comment
Le verdict des autorités de protection des données autrichienne, française et italienne selon lequel Google Analytics n'est pas conforme au RGPD s'applique à la fois à Universal Analytics et à Google Analytics 4. Sont donc directement visées tant les entreprises qui utilisent Universal Analytics que celles qui migreront vers Google Analytics 4 en 2023.
Les données à caractère personnel
Selon le RGPD, les données à caractère personnel sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable [...] qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant ».
Sont notamment concernées toutes les informations pseudonymes :
- Adresses IP
- Tous types d'identifiants en ligne : cookies, identifiants mobiles, identifiants publicitaires, voire empreintes digitales
- Toute combinaison d'informations pouvant conduire à l'identification d'une seule personne : données de navigation, données comportementales ou toute autre donnée démographique
Google s'écarte de la définition stricte du RGPD en ce qu'il ne considère pas les éléments suivants comme des données à caractère personnel :
- Identifiants de cookies pseudonymes
- Identifiants publicitaires pseudonymes
- Adresses IP
- Autres identifiants utilisateur pseudonymes
Ainsi, Google ne considère pas les requêtes IP envoyées avec une demande d'annonce (ce qui concerne la quasi-totalité des demandes d'annonce) comme un envoi de renseignements personnels au sens du RGPD. Une telle décision, en contradiction directe avec le RGPD, pourrait mettre quiconque utilise Universal Analytics ou Google Analytics 4 en mauvaise posture vis-à-vis des autorités de réglementation.
La collecte et l'utilisation des données
Le RGPD précise que « [l]es données à caractère personnel doivent être […] traitées de manière licite, loyale et transparente au regard de la personne concernée ». En d'autres termes, tous les éditeurs de sites web et d'applications qui recueillent des données à caractère personnel doivent indiquer précisément comment celles-ci sont collectées et utilisées.
Or, Google n'offre pas une transparence suffisante pour se conformer au RGPD. En témoigne notamment l'amende de 50 millions d’euros infligée en 2019 par la CNIL (l'autorité française de protection des données) pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».
Le stockage des données
Le transfert de données de l'UE vers les États-Unis est soumis à des conditions strictes :
- mettre en œuvre les garanties appropriées, à savoir les clauses contractuelles types (CCT) et les règles d'entreprise contraignantes (BCR, pour « Binding Corporate Rules ») ;
- prévoir des mesures de protection supplémentaires (pseudonymisation et chiffrement) ;
- offrir une visibilité totale sur l'accès aux données et leur utilisation ;
- renforcer la procédure d'audit de l'importateur à des fins de conformité ;
- veiller au respect total de politiques rigoureuses en matière de sécurité et de confidentialité, fondées sur les certifications et codes de conduite de l'UE ainsi que sur la norme ISO.
En vertu du RGPD, la transmission de données à caractère personnel dans des pays non européens est possible, moyennant la mise en place de garde-fous adaptés. Parmi ces mesures figurent : offrir un niveau de protection adéquat, informer les utilisateurs que leurs données seront transmises et respecter leurs droits en matière de protection des données.
Toutefois, Google ne respecte pas les exigences relatives au stockage des données ni à leur transfert entre l'UE et les États-Unis :
- Les centres de données de Google sont répartis dans le monde entier.
- Il ne garantit pas que les données européennes restent stockées dans l'UE.
- Les lois de surveillance du gouvernement des États-Unis obligent spécifiquement des fournisseurs américains comme Google ou Facebook à fournir les données personnelles des internautes aux autorités américaines.
- Selon la CNIL, il existe un risque que les services de renseignement américains puissent accéder à des données personnelles transmises aux États-Unis si les transferts ne sont pas correctement réglementés.
Pourquoi chercher une autre solution analytics
Choisir une solution autre que Universal Analytics et Google Analytics 4 est en somme une affaire de gestion des risques. Cela pose la question des garanties offertes par votre fournisseur analytics pour protéger vos données.
L'idée est de se tourner vers des prestataires qui proposent un contrat de protection des données accessible et explicite sur les aspects suivants :
- À qui incombent la responsabilité de l'utilisation des données ainsi que la charge d'informer les autres parties ?
- Quelles sont précisément les données personnelles traitées ? Comment et dans quel but ?
- Où sont traitées et stockées les données ? Quelles sont les garanties associées ?
Le fournisseur analytics choisi doit également mettre à disposition un contrat de traitement des données qui explique clairement comment il travaille dans le cadre fixé par le RGPD. Ce contrat s'accompagne d'une autre exigence : celle d'une assistance facilement accessible, sous la forme notamment d'un référent spécifiquement chargé de la confidentialité des données (par exemple un délégué à la protection des données, ou DPD). Ainsi, vous n'aurez pas à vous soucier de savoir si vos mesures de protection sont ou non suffisamment rigoureuses.
Piano Analytics, ou la protection des données par conception
Contrairement à Google Analytics, Piano Analytics est une solution qui par sa conception même protège la vie privée des internautes. Elle est conçue pour rendre l'analyse des données plus intuitive et faciliter le partage d'informations entre les différents services, sans craindre d'enfreindre les réglementations en vigueur.
Piano respecte les niveaux les plus élevés de conformité avec le RGPD et d'autres réglementations relatives à la protection de la vie privée. Notre équipe interne de spécialistes assure au fur et à mesure la maintenance et les mises à jour de notre solution.
Nos experts se tiennent à la disposition de nos clients pour les aider à appréhender leurs données et le paysage réglementaire dans lequel ils évoluent. Grâce à une compréhension fine du comportement de leurs utilisateurs, nos clients peuvent optimiser leur retour sur investissement tout en restant dans le cadre prévu par la réglementation.
La différence Piano Analytics
- Une conformité stricte au RGPD et à la directive ePrivacy : Piano Analytics se conforme aux exigences réglementaires prévues par le RGPD et autres dispositions régissant la protection de la vie privée, notamment le California Consumer Privacy Act (CCPA). Notre fournisseur cloud, approuvé par la CNIL et le Conseil européen de la protection des données, respecte le code de conduite européen. Nos clients ont ainsi l'assurance que nous prenons les mesures appropriées pour respecter les directives de confidentialité des données.
- Des politiques rigoureuses en matière d'utilisation des données : nous ne collectons que les données strictement nécessaires aux besoins de nos clients, pour lesquelles l'utilisateur final a accordé son consentement exprès. La finalité est limitée à la seule mesure d'audience. Nos clients restent par ailleurs propriétaires à 100 % de leurs données.
- Une expertise interne en matière de données : notre délégué à la protection des données veille en interne à ce que Piano reste à chaque instant conforme à la réglementation en vigueur. Notre équipe aide également nos clients à mobiliser leurs données tout en respectant des critères stricts de confidentialité.
- Des données exemptes de tout conflit d'intérêts : nous n'exploitons, ne vendons ni ne transférons jamais de données. Plus généralement, nous ne nous livrons à aucune activité susceptible d'enfreindre le RGPD et les réglementations locales. Notre solution répond à un seul objectif : collecter, traiter et stocker différentes données pseudonymisées (audience, navigation et comportement) pour le compte de nos clients. Nous appliquons toute une panoplie de mesures techniques supplémentaires, notamment l'anonymisation et le chiffrement, pour garantir la conformité de ces données.
Une solution analytics puissante et conforme au RGPD qui accorde la priorité à la protection de la vie privée
La mission de Piano consiste à proposer une assistance de pointe à ses clients pour leur permettre de rester dans les clous de la réglementation en matière de protection des données, en tenant compte des dernières évolutions dans le domaine.
Opter pour Piano Analytics, c'est faire le choix d'une solution analytics avancée qui vous permet de partager des données de qualité avec les différents collaborateurs de votre entreprise, le tout, avec la tranquillité d'esprit que vous procure une solution 100 % axée sur la confidentialité.
Sur le marché de l'analytics, notre solution est depuis longtemps connue pour être respectueuse du RGPD. Quant à nous, nous affichons une transparence totale sur les données et nos pratiques de confidentialité. Le fin mot de l'histoire ? Vous savez toujours où vos données sont traitées et stockées.
Travaillons ensemble à la mise en conformité de votre site et montrons à votre audience l'importance que vous accordez à ses droits en matière de protection de la vie privée.