Annonce de la CNIL : Google Analytics dans l’illégalité ?
Ecrit par Mathieu CHAPON
le
Vous avez dû voir l’annonce de la CNIL rendant illégal l’utilisation de Google Analytics ?. Mathieu Chapon, Directeur SEO Search Foresight vous partage son point de vue.
Google Analytics est-il vraiment illégal ? Non !
La CNIL n’a pas de pouvoir législatif, c’est au conseil d’État de se prononcer pour rendre réellement illégale cette mesure : attendons de voir ce qui est décidé !
Ce que reproche la CNIL à l’outil Google Analytics n’est pas la solution en tant que telle mais plutôt le transfert des données vers les US. La CNIL a pour mission de chasser les outils qui stockent les données personnelles sans les déclarer : malheureusement GA est coutumier du fait !
Les autorités de la protection des données estiment que les protocoles de protection mis en place par Google n’excluent pas la possibilité que les services de renseignements américains aient accès aux données personnelles des citoyens européens. L’Autriche a statué que l’outil Google Analytics ne respectait pas le RGPD, les Pays-bas ont, eux aussi, conclu la même chose.
Alors oui, Analytics conserve les données sur des serveurs US sans respecter les règles RGPD.
Par quoi remplacer Google Analytics ?
Il existe plusieurs alternatives à GA pour continuer de suivre vos données :
- AT Internet dont Search Foresight est partenaire. Cet outil stocke les données clients au sein de l’Union Européenne. Pas de tromperie sur la marchandise car cela est stipulé dans le contrat.
- Matomo est, lui aussi, RGPD Friendly : Tous ses serveurs Cloud sont basés en Allemagne et il propose également une offre auto-hébergement qui est très intéressante.
Matomo et AT Internet ont la particularité d’être exemptés de consentement, car ils ont directement signé un accord avec la CNIL qui les engage à ne stocker aucune donnée.
- On peut aussi aller chez Abla Analytics, solution référencée par la CNIL, 100% conforme au RGPD, et l’avantage, c’est que tout est français (serveurs, salariés, actionnariat…)
Sous quelle deadline arrêter Analytics ?
La CNIL a écrit noir sur blanc : « le gestionnaire de site en cause [= qui utilise Google Analytics], dispose d’un délai d’un mois pour se mettre en conformité ».
L’affaire pourrait-elle aller plus loin ?
Tout transfert d’informations personnelles (dont l’adresse IP) de l’Union Européenne vers les États-Unis ou vers un serveur détenu par une entreprise US est illégal pour le RGPD. Cela inclut bien évidement toutes les librairies Javascript partagées, du type jQuery, les fontes tierces comme Google, les appels directs à Github, Cloudflare, etc.
N’oublions pas aussi qu’Amazon, Facebook, LinkedIn, Twitter… sont hébergés aux US et détiennent une bonne partie de nos données personnelles.
À date, nous vous invitons à vous rapprocher de vos équipes tracking et SEO pour décider ensemble des options possibles avant de couper Google Analytics.