Google Analytics a récemment fait l'objet de critiques de la part des autorités européennes pour non-respect des règles du GDPR sur les transferts de données. Google promet que la dernière version de son outil d'analyse sera davantage axée sur la protection de la vie privée. L'année prochaine, Universal Analytics sera remplacé par GA4, et la protection de la vie privée a été le principal moteur de ce changement. Mais dans quelle mesure cette version sera-t-elle plus respectueuse de la vie privée ?
De nombreuses entreprises attendent Google Analytics 4 comme une solution au problème de la conformité. Toutefois, elles sont peut-être un peu trop optimistes. Bien qu'il n'y ait pas encore de jurisprudence sur GA4, il semble que GA4 souffre des mêmes problèmes juridiques que UA.
- Quelles sont les nouveautés de Google Analytics 4 ?
- Google Analytics 4 résoudra-t-il les problèmes juridiques d'Universal Analytics ?
- La protection de la vie privée ne se limite pas à la conformité
- Comment supprimer mes données Google Analytics ?
- Dernières réflexions
Plongeons dans le vif du sujet !
Quelles sont les nouveautés de Google Analytics 4 ?
Universal Analytics a été lancé en 2012 et est pratiquement l'outil d'analyse web par défaut de l'Internet. Cela va bientôt changer : Google a annoncé qu'il supprimerait progressivement Universal Analytics d'ici juillet 2023. Les personnes et les entreprises qui souhaitent encore utiliser Google Analytics devront donc bientôt passer à Google Analytics 4.
La nouvelle version de l'outil de Google a été développée en 2020 et diffère à bien des égards d'Universal Analytics. Google Analytics 4 s'appuie sur des cookies de première partie émis par Google lui-même. Il utilise également un modèle basé sur les événements: il suit les actions spécifiques des utilisateurs, comme le fait de cliquer sur un lien ou de consulter une page, et les associe à un seul utilisateur. Universal Analytics, quant à lui, s'appuie sur des cookies tiers et utilise un modèle basé sur la session qui suit l'activité de l'utilisateur au cours d'une seule visite sur un site web.
Le passage d'un modèle basé sur les sessions à un modèle basé sur les événements est très important dans la pratique. Pour alimenter son nouveau modèle, Google Analytics 4 collecte des données différentes de celles de son prédécesseur, ce qui peut rendre le nouvel outil difficile à apprendre pour les utilisateurs familiers avec Universal Analytics. Et comme les anciennes mesures ne sont pas compatibles avec le nouveau modèle, la plupart des données collectées par Universal Analytics ne peuvent pas être importées dans Google Analytics 4.
Il existe de nombreuses autres différences entre Ultimate Analytics et Google Analytics 4 : par exemple, la nouvelle version offre un meilleur suivi inter-appareils que la précédente et traite les adresses IP d'une manière différente.
Google Analytics 4 résoudra-t-il les problèmes juridiques d'Universal Analytics ?
Google affirme que Google Analytics 4 sera plus respectueux de la vie privée que son prédécesseur, et les utilisateurs espèrent que le nouvel outil résoudra les problèmes juridiques de Google concernant les transferts de données. Cependant, la nouvelle version ne résout pas les problèmes juridiques cruciaux en jeu. Voici pourquoi.
Les questions fondamentales : données personnelles et mesures complémentaires
Les questions juridiques liées aux transferts de données sont complexes et longues à expliquer. Si vous avez du temps à tuer, vous pouvez les couvrir en détail ici.
En résumé, l'arrêt Schrems II de la Cour de justice de l'UE a invalidé un cadre de transfert de données qui permettait de transférer facilement des données vers les États-Unis. Les entreprises européennes doivent désormais s'appuyer sur un mécanisme appelé " clauses contractuelles types" pour transférer des données à l'étranger. En outre, elles doivent mettre en œuvre des mesures supplémentaires en plus de ces clauses pour protéger les données contre la surveillance de l'État.
Juste après l'arrêt Schrems II, l'ONG noyb a déposé 101 plaintes auprès de plusieurs autorités européennes de protection des données contre des sites web utilisant Google Analytics et Facebook Connect. Le Conseil européen de la protection des données (l'organisation qui regroupe toutes les autorités européennes de protection des données) a ensuite formé un groupe de travail pour coordonner l'approche au niveau européen.
Jusqu'à présent, cette approche coordonnée a conduit les autorités autrichiennes, françaises, italiennes et finlandaises chargées de la protection des données à déclarer Google Analytics illégal. En outre, l'autorité danoise a essentiellement fait de même dans un communiqué de presse et l'autorité norvégienne s'est provisoirement prononcée contre Google Analytics dans une affaire toujours en cours.
(N'oublions pas que les questions juridiques en jeu sont les mêmes que celles qui ont valu à Meta Ireland une amende de 1,2 milliard d'euros et une injonction de suspendre les transferts de données pour Facebook ! Nous avons discuté de cette affaire importante ici)
Les plaintes portent essentiellement sur les mesures supplémentaires requises par l'arrêt Schrems II. Aucune mesure efficace de protection des données personnelles contre la surveillance de l'État n'est disponible pour GA et tout autre service basé sur le cloud qui doit traiter des données en clair1. Il s'ensuit que Google ne peut se conformer au GDPR qu'en ne traitant aucune donnée personnelle aux États-Unis, ce qui n'est pas le cas. Ce n'est pas non plus le cas pour Google Analytics 4.
Google Analytics 4 transfère des données personnelles
Google a présenté GA4 comme une évolution vers un modèle d'analyse web sans cookies et respectueux de la vie privée, mais son nouvel outil d'analyse n'est pas tout à fait sans cookies. GA4 a abandonné les cookies de tiers mais utilise des cookies de première partie appelés Client ID. À l'instar des cookies tiers utilisés par Universal Analytics, les cookies de Google Analytics 4 comprennent un identifiant unique appelé Client-ID. C'est pourquoi ils constituent des données à caractère personnel au sens du GDPR2. Google Analytics 4 transfère donc toujours des données à caractère personnel aux États-Unis.
GA4 utilise également un identifiant appelé User-ID. Les ID utilisateurs ne sont pas des cookies, mais un outil différent utilisé par GA pour suivre les utilisateurs sur tous les appareils. Il s'agit de données à caractère personnel car elles permettent d'identifier les utilisateurs individuels3 parmi le trafic du site web. Il en va de même pour l'ID unique4, un paramètre différent traité par Google Analytics pour générer un ID utilisateur.
Lelien entre les données est un autre facteur crucial. GA4 traite de nombreux événements et paramètres qui ne constituent pas des données pertinentes en soi, mais qui peuvent être combinés pour identifier un utilisateur. Google collecte également des données personnelles d'utilisateurs connectés à leur compte Google. Ces données peuvent être associées à d'autres données collectées par le GA4 afin de rendre l'utilisateur facilement identifiable. Comme l'ont noté les autorités européennes dans des décisions récentes, ces données sont également des données à caractère personnel.
Le problème qui se pose est celui du transfert des données à caractère personnel vers les États-Unis. Google Analytics 4 ne résout pas ce problème. Une configuration de Google Analytics 4 transfère toujours des données personnelles vers les États-Unis.
La protection de la vie privée ne se limite pas à la conformité
Jusqu'à présent, nous avons examiné la conformité de GA4 avec le GDPR. Mais qu'en est-il de ses implications générales en matière de confidentialité ?
Commençons par les bonnes nouvelles. GA4 est définitivement plus respectueux de la vie privée dans la manière dont il traite les adresses IP puisqu'elles ne sont ni enregistrées ni stockées. À titre de comparaison, UA stocke toujours les adresses IP et n'offre qu'un protocole optionnel d'anonymisation des adresses IP (que les autorités européennes de protection des données ont jugé inefficace). L'abandon des cookies de tiers est également un pas dans la bonne direction.
En revanche, le système User-ID encourage des pratiques de traçage très invasives. Il s'agit essentiellement d'un système en deux étapes dans lequel le site web lui-même recueille certaines données pour identifier un utilisateur sur plusieurs plateformes. Sur la base de ces données, le site génère un identifiant unique qu'il transmet à Google. Google génère alors un identifiant pour chaque identifiant unique fourni et suit le paramètre sur l'ensemble des appareils.
Dès que GA4 deviendra la norme, les sites web seront incités à suivre les utilisateurs de manière encore plus agressive et chercheront, comme on peut s'y attendre, n'importe quelle excuse pour collecter les données dont Google Analytics a besoin pour suivre les utilisateurs d'un appareil à l'autre. Ils pourraient commencer à verrouiller le contenu derrière un enregistrement afin de collecter des informations d'identification et de générer un identifiant unique, de la même manière que les "murs de cookies" exigent essentiellement des données en guise de paiement pour un article "muré".
Du point de vue de la conformité, cela peut facilement déraper. Nous nous attendons à voir des sites web collecter des identifiants de connexion avec le consentement de l'utilisateur sans l'informer que ces identifiants seront utilisés pour suivre son comportement à des fins d'analyse, ce qui constitue une violation du GDPR5. Ou bien ils peuvent informer l'utilisateur mais aussi l'obliger à consentir à être suivi pour s'inscrire - ce qui est un exemple de consentement "groupé" et pose un problème juridique6. Il est important de noter que la génération d'un identifiant unique relève entièrement de la responsabilité du client, conformément aux conditions d'utilisation de GA, et que Google n'est pas responsable en cas de violation de ces conditions.
Par ailleurs, les sites web peuvent chercher d'autres moyens "créatifs" de suivre leurs utilisateurs. Ils peuvent par exemple recourir au suivi probabiliste, c'est-à-dire rassembler un ensemble de données telles que l'adresse IP, la localisation de l'appareil et les données de navigation, et les soumettre à des algorithmes pour estimer la probabilité que deux appareils appartiennent au même utilisateur. Cela semble invasif, et ça l'est.
En résumé, Google crée un cauchemar potentiel en matière de protection de la vie privée : Google crée un cauchemar potentiel en matière de protection de la vie privée et évite de prendre ses responsabilités en confiant une partie du travail de suivi à ses clients.
Comment supprimer mes données Google Analytics ?
Si vous décidez de donner la priorité à la protection de la vie privée, vous devez supprimer vos données Google Analytics. C'est facile à faire. Notre blog contient une explication plus détaillée sur la manière de procéder, mais en résumé, voici comment procéder
- connectez-vous à votre compte Google Analytics
- accédez à la section Admin via l'icône située en bas à gauche de votre écran
- accédez aux paramètres de la propriété
- sélectionnez la propriété de votre site web et mettez-la à la poubelle
- supprimez le code de votre site web
- optionnellement : supprimez ensuite votre compte Google Analytics. Vous pouvez le faire à partir de la section "Compte" de votre compte.
Remarque : vous pouvez sauvegarder une copie de vos données avant de les supprimer, car Simple Analytics et d'autres outils d'analyse web vous permettent d'importer des données historiques de Google Analytics.
Dernières réflexions
Comme nous l'avons dit, il n'existe pas encore de jurisprudence sur les transferts de données de GA4. Chez Simple Analytics, nous n'avons pas de boule de cristal, mais sur la base de la jurisprudence existante et de la documentation de Google, nous avons de bonnes raisons de penser que l'utilisation de Google Analytics 4 n'est pas conforme au GDPR.
Non seulement Google Analytics 4 n'est pas conforme à la loi, mais nous pensons également qu'il s'agit d'un modèle d'analyse très envahissant pour la vie privée qui encourage les sites web à suivre leurs utilisateurs.
Chez Simple Analytics, nous pensons que vous n'avez pas besoin de suivre les visiteurs de votre site web ou de collecter des données personnelles. Nous vous fournissons les informations dont vous avez besoin sans porter atteinte à la vie privée de vos visiteurs et en étant 100% conforme au GDPR.
Nous croyons en la création d'un web indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous contacter.
1 : Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l'UE, paragraphe 94. 94. 2 : Avis 5/2019 de l'EDPB sur l'interaction entre la directive "vie privée et communications électroniques" et le GDPR, en particulier en ce qui concerne la compétence, les tâches et les pouvoirs des autorités de protection des données, par. 29. 3 : Considérant 26 du GDPR, 4 : L'utilisation d'informations personnelles identifiables (IPI) en tant qu'identifiant unique est contraire aux conditions d'utilisation de GA. Mais la notion de données à caractère personnel au sens du GDPR est plus large que celle d'IPI telle que l'entend Google. C'est ce que souligne Google elle-même5 : Art. 13(1) GDPR. Si le consentement est recueilli, l'exigence selon laquelle le consentement doit être éclairé et spécifique en vertu de l'article 4, paragraphe 11, est également violée. 4(11) est également violée 6 : L'art. 7(4) GDPR n'interdit pas purement et simplement le consentement groupé mais le décrit comme problématique.