Aller au contenu principal
  1. Accueil
  2. Actualités
  3. Blog
  4. Web Analyse
  5. Données personnelles et RGPD : vers la fin de Google Analytics en Europe ?
Web Analyse

Données personnelles et RGPD : vers la fin de Google Analytics en Europe ?

Interview – La solution de web analyse est de plus en plus critiquée : jeudi 10 février, la CNIL l’a mise en demeure à l’encontre des sites français, un mois après une décision similaire en Autriche. Sandrine, notre experte du règlement européen sur la protection des données (RGPD) fait le point sur ces décisions et sur l’usage ou le mésusage qui est fait de nos données personnelles récoltées sur Internet.

Publié le 10 février 2022 par Guirec Gombert

Dans un communiqué publié jeudi 10 février, la CNIL explique constater “que les données des internautes sont transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité”.

Pour de nombreux observateurs, cette décision sonne comme un coup de tonnerre pour les professionnels du web. Nous avons fait le point avec Sandrine, déléguée à la protection des données à l’Agence.

> Design, futur de l’UX, psycho et recherche utilisateur… Nos collaborateurs ont plein de choses à vous raconter ! 

Hier en France et très récemment en Autriche, des décisions ont été prises jugeant l’utilisation de Google Analytics contraire au droit européen sur les données personnelles, peux-tu nous expliquer de quoi il en retourne ? 

Très précisément, ce qui est reproché à Google Analytics (GA) c’est le transfert des données personnelles des Européens vers les États-Unis, une pratique interdite depuis 2020. Auparavant, un accord dit “Privacy Shield” (bouclier de protection des données) autorisait les entreprises européennes à transférer leurs données. Mais pour les européens, les programmes de surveillance américains ne sont pas compatibles avec les principes du règlement européen sur la protection des données (RGPD).

Selon la Cour de l’UE, ses citoyens n’ont pas la possibilité d’accéder et de maîtriser l’usage fait de leurs données personnelles. En effet, la loi américaine n’accorde aucun droit aux étrangers sur la manière dont sont récupérées et analysées leurs données personnelles. En cela, la justice autrichienne et la CNIL ont estimé illégal l’usage de GA, car contraire au RGPD.

Les entreprises travaillant dans la publicité en ligne doivent se poser des questions aujourd’hui

Selon de nombreux observateurs, cette décision pourrait  conduire à une lame de fond pour de nombreuses autres grandes sociétés du numérique américain… 

Actuellement, seule GA est visée mais il est évident que tous les services cloud envoyant des données des citoyens européens vers les US sont concernés. Amazon, Facebook, Google, Microsoft… On pourrait assez logiquement assister à une multiplication des cas sauf si les États-Unis adaptent leur réglementation ou que les fournisseurs américains hébergent les données européennes en Europe.

La CNIL a d’ailleurs précisé que « d’autres procédures de mise en demeure ont été engagées à l’encontre de gestionnaires de sites utilisant Google Analytics ».

Quelles conséquences derrière pour l’écosystème du web ? 

Ce sont surtout les entreprises travaillant dans la publicité en ligne qui doivent se poser des questions aujourd’hui alors qu’une grande part des revenus publicitaires des éditeurs se fait sur la base des audiences mesurées par GA.

Nous recevons des publicités ciblées ainsi que des informations ou désinformations qui nous confortent dans notre vision du monde

Même si tout le monde a bien compris la logique du “quand c’est gratuit c’est toi le produit”, qu’est-il fait de nos données et quelles sont les conséquences pour les internautes ? 

Les entreprises en savent beaucoup sur votre vie privée et revendent ces informations au plus offrant. En soi, c’est déjà discutable. Et même si vous vous dites que vous n’avez rien à cacher, ce n’est pas si certain… Il y a de nombreuses données sensibles qui peuvent aujourd’hui être récoltées : origine ethnique, opinions politiques, convictions politiques ou religieuses, appartenance syndicale, données sur la santé, l’orientation sexuelle. Il est facile d’obtenir ces informations en analysant la navigation des internautes : achat de produits pour cheveux crépus, recherche de symptômes médicaux sur Doctissimo, utilisation d’une application de rencontres, etc.

À partir de ces informations, nous recevons des publicités ciblées ainsi que des informations ou désinformations qui nous confortent dans notre vision du monde et nous limitent dans nos réflexions.

> À ce sujet, (ré)écoutez notre podcast Salut les designers où notre invitée du mois, Mélissa Canseliet, neuroscientifique, explique les nombreux biais dont nous sommes victimes et comment s’en prémunir au mieux.  

Et puis, il faut penser aux personnes qui pourraient être victimes de fuites de ces données : lanceurs d’alerte, personnes homosexuelles dans un pays où c’est interdit, activistes recherchés, etc. Certes, nous ne parlons pas ici de GA et de ses pratiques marketing mais on voit bien le danger qu’il y a avec toutes ces données sur lesquelles nous n’avons aucune prise.

Il est possible de suivre les audiences sans traquer les internautes

Pour revenir à Google Analytics, n’est-ce pas les entreprises utilisant ce service qui devraient être inquiétées ?  

Normalement, nul n’est censé ignorer la loi… Après, il est évident qu’il y a une différence entre les grosses entreprises qui collectent des tas d’informations et de plus petites structures qui souhaitent simplement avoir une idée de l’audience sur leur site.

Il faut aussi que les entreprises prennent conscience qu’il est possible de suivre les audiences sans traquer les internautes. Nous avons déjà évoqué ici sur le blog l’outil Matomo par exemple. Il est RGPD compatible car contrairement à GA, il comptabilise les visiteurs d’un site sans recueillir aucune donnée à caractère personnel s’il est bien configuré, et il ne croise pas les données obtenues sur différents sites ni ne les utilise pour ses propres services.

> Outil de mesure d’audience : entre Matomo et Google Analytics, lequel choisir ? Une question que nous avions posée à Ronan Chardonneau, professeur en digital marketing

Et si on veut se protéger du traçage en tant qu’internaute, comment peut-on faire ? 

La CNIL a justement sorti un guide pour répondre à cette question. Elle revient sur les différentes méthodes de traçage et les solutions éventuelles pour s’en prémunir. Mais, pour résumer, c’est compliqué, assez technique et cela demande une très bonne culture numérique pour se protéger vraiment totalement du traçage. C’est pourquoi le rôle du législateur est vital pour éviter les abus et nous protéger.

Rédigé par

Guirec Gombert
Guirec Gombert
UX Writer (ne travaille plus chez LunaWeb)

Tags

Web Analyse

Partager sur

Twitter
LinkedIn
Facebook
E-mail