La suite Google Analytics est un outil statistique ayant recours à l’usage de cookies de mesure d’audience. Cette suite, très largement utilisée par les éditeurs de sites internet, a fait couler beaucoup d’encre au cours de ces derniers mois et a suscité un grand nombre d’interrogation quant à son usage. Consentement ou non, cookie inévitable ou à proscrire ? Où en sommes-nous ?
Avant de répondre à ces interrogations, revenons d’abord sur les définitions du sujet.
« Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web » (CNIL)
De manière générale, les cookies en tant que tels ne peuvent pas vous identifier. Cependant, certains cookies peuvent enregistrer des informations qui elles pourront servir à vous identifier. Ce sera notamment le cas des cookies de la suite Google Analytics. Ces derniers pourront en effet enregistrer des informations relatives à votre navigation sur un site internet (les pages que vous avez consultées, la date et l’heure de la consultation, etc.) analysant ainsi, grâce à votre adresse IP, vos préférences et habitudes de navigation, et pourront même vous géolocaliser de manière plus ou moins précise.
La suite Google Analytics est une fonctionnalité qui peut être paramétrée par le gestionnaire d’un site internet afin d’effectuer un suivi et mesurer la fréquentation du site par les internautes. Les données collectées par les cookies à cette occasion peuvent ainsi être transférées à Google aux Etats-Unis, qui pourra les réutiliser pour son propre compte, par exemple pour faire de la publicité ciblée.
Les cookies de mesures d’audiences tel que Google Analytics sont par principe soumis au consentement de l’utilisateur à moins qu’ils ne remplissent les conditions suivantes :
La suite Google Analytics ne remplissant pas les conditions d’exemption de consentement, elle a dans un premier temps été soumise au consentement de l’utilisateur.
Suite à l’arrêt « Schrems II », la décision d’adéquation pour les transferts de données vers les Etats-Unis (aussi appelée Privacy Shield) a été abrogée par la Commission Européenne. Suite à l’invalidation du Privacy Shield, les transferts de données personnelles vers les Etats-Unis doivent être encadrés par des garanties complémentaires tel que des clauses contractuelles types.
Jusqu’en début d’année, l’utilisation des cookies de la suite Google Analytics n’était pas recommandée par la CNIL mais tolérée s’ils étaient soumis au consentement des utilisateurs du site en question.
Cependant, en février 2022, la CNIL a émis une série de mises en demeure à l’attention de plusieurs éditeurs de sites internet dans lesquelles elle a estimé que l’utilisation de tous les cookies de la suite Google Analytics devait être proscrite en raison des transferts de données personnelles vers les Etats-Unis devenus illégaux à la suite de cette décision de la CJUE.
La CNIL avait déjà par le passé tenté d’éviter l’utilisation des cookies de la suite Google Analytics en proposant un certain nombre de cookies alternatifs qui permettaient également de réaliser de la mesure d’audience sans risquer de transférer illégalement des données personnelles de résidents européens. Vous pourrez ainsi trouver sur la page suivante une liste de cookies recommandés par la CNIL : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience.
Sans réelle surprise, la position de départ de la société Google était d’affirmer qu’aucune donnée n’était transmise aux USA puisqu’aucune donnée à caractère personnel n’était collectée. Le géant du web indiquait en effet que les informations collectées n’étaient pas réellement des données identifiantes mais des informations relatives au fonctionnement d’un site internet et qu’il n’y avait pas de transfert de données vers des serveurs américains.
Les multiples décisions des autorités de contrôle européennes (française, autrichienne, etc.) au sujet de la protection des données ont fait réagir Google qui a finalement mis en avant les arguments ci-dessous :
Ainsi selon Google, GA 4 règlera ces problèmes de conformité. Cependant, le paragraphe suivant aura vocation à démontrer une réalité quelque peu différente.
Dès le 1er juillet 2023, les utilisateurs de Google Analytics seront obligés de passer à sa nouvelle version : Google Analytics 4 (GA4). GA4, comme son prédécesseur Universal Analytics, est une plateforme de web analytics qui permet de suivre les indicateurs clés d’un site internet ou d’une application mobile.
Si Universal Analytics utilisait un modèle de données principalement basé sur les pages vues et les sessions (interactions d’utilisateurs sur un site web dans un temps limité), ce ne serait pas le cas pour GA4 qui sera fondé sur un modèle de données basé uniquement sur les évènements (nombre d’actions réalisées sur un site ou application tels que clic bouton, scroll, achat, remplissage d’un formulaire, etc.).
Jusqu’au 1er juillet 2023, il sera toujours possible d’utiliser et de collecter de nouvelles data dans les propriétés Universal Analytics. Après le 1er juillet 2023, il sera toujours possible d’accéder aux données précédemment traitées dans les propriétés Universal Analytics pendant encore 6 mois. Une date d’arrêt définitif de l’ancienne version d’Analytics sera fixée par Google. Après cette date, il ne sera plus possible d’accéder aux rapports de données ni depuis l’interface d’Analytics ni depuis l’API (interface de programmation). Ce n’est donc pas dans l’immédiat.
En revanche, par défaut, Analytics collecte un certain nombre de données (Position géographique, données relatives au périphérique …) même s’il existe la possibilité d’activer ou de désactiver la collecte de ces données) :
Par ailleurs, Analytics propose des commandes permettant de désactiver :
Si la collecte des données est désactivée, Analytics conserve toutes les données historiques qui ont été collectées.
Point d’attention : La CNIL avait relevé dans sa mise en demeure de février 2022 que, parmi les données à caractère personnel traitées, l’on pouvait trouver l’adresse IP (qui n’est plus enregistrées ni stockées dans GA4 et qui ne fera donc pas l’objet d’un transfert hors de l’UE) mais également le « Client ID » Google Analytics qui est un identifiant du visiteur (identifiant du cookie visiteur Google Analytics).
La CNIL a relevé à ce titre que les identifiants du visiteur sont des identifiants uniques qui ont pour finalité de différencier les individus. Dans GA4, ce client ID ou identifiant du visiteur sera le même que sous Universal Analytics en ce qu’il « partage la même sémantique et remplit la même fonction, à savoir un identifiant utilisateur pseudonyme. » (Source : Google)
Néanmoins, Google ne fait mention que des mesures de sécurité applicables aux adresses IP. Cela signifierait que les données relatives au client ID ainsi que les données de géolocalisation, métadonnées relatives au navigateur, etc. seraient enregistrées et stockées dans les serveurs de Google.
La question du transfert de données hors de l’Union Européenne ne serait donc pas totalement réglée, en tout cas pour le client ID. L’utilisation de GA restera à priori illicite.
Suite à cela, en juin 2022, la CNIL a souhaité prendre position pour donner une solution aux entreprises qui souhaitaient tout de même continuer d’utiliser les cookies de la suite Google Analytics tout en restant conformes d’un point de vue de la réglementation en matière de protection des données. Ainsi, afin d’éviter les transferts illégaux de données vers les Etats-Unis, il est possible d’utiliser un proxy correctement configuré qui permettrait d’avoir l’assurance que les données sont anonymisées avant d’être transférées hors UE.
GA 4 règle le problème du transfert hors UE de l’adresse IP mais pas d’autres données à caractère personnel tel que le client ID, qui reste non encadré.
La solution proposée par la CNIL de proxyfication parait peu réalisable d’un point de vue opérationnel car très coûteuse pour beaucoup d’entreprises. Ainsi, sans réponse ferme de la part de Google sur l’abolition des transferts systématiques vers les Etats-Unis, l’utilisation de Google Analytics restera proscrite même sous GA4 (sauf via l’utilisation de proxy dans les conditions définies par la CNIL).
Mathieu Tremblet