retour Blog

06 mai 2023 | Auteurs : Julien , Jade

Google Analytics 4, migration, CNIL et RGPD : à savoir et à faire

Elle agite l’actualité (digitale et marketing) comme le passage à l’an 2000. L’arrivée de Google Analytics 4 est l'occasion de faire le point sur l’outil phare du roi des moteurs de recherche, ses difficultés à s’aligner avec le RGPD, et ses concurrents, souvent meilleurs élèves en matière de vie privée.

Google Analytics 4, c’est quoi ?

Google Analytics 4 est l’évolution dite majeure de Universal Analytics qui entend fournir des statistiques plus unifiées et détaillées avec, à la clé, une meilleure compréhension du parcours client souvent sinueux. GA4 peut ainsi combiner les données d’un site et d’une appli dans une même propriété. GA4 se veut également plus engagé en matière de protection de la vie privée.

Problème : Google Analytics 4 et RGPD ne font toujours pas bon ménage

Outre la question de la migration et de la prise en main de la nouvelle interface, la question de la conformité reste centrale. Car la nouvelle plateforme du géant de la Silicon Valley, supposément axée sur la protection des données, n’est pas raccord avec le règlement européen.

Dans le viseur de la CNIL

Août 2020, l’association NOYB dépose 101 plaintes auprès des différentes autorités de protection des données européennes concernant des sites web utilisant notamment Google Analytics, suspecté de violer certaines dispositions du RGPD.

En février 2022, la CNIL met en demeure des sites français estimant que :

Les éditeurs des sites utilisant Google Analytics violent délibérément les stipulations du RGPD et en particulier son article 44.
Les mesures de Google ne sont pas suffisantes pour protéger les données des résidents européens.
Les données d’internautes européens sont transférées illégalement hors UE.

L’historique de la Cnil sur le sujet.

Un mois pour se mettre en conformité, c’est court

Un délai de 30 jours a été concédé par la Commission Nationale de l'Informatique et des Libertés aux propriétaires des sites incriminés pour s’aligner avec les directives européennes, preuves à l’appui.

Pas de grande sanction, mais un timing très serré pour réagir et migrer vers un autre outil sans perdre ses nerfs et ses données.

Les risques de divulgation de vos données

Concrètement, les informations récoltées par Google Analytics et contenant des données à caractère personnel peuvent être utilisées aux États-Unis tout à fait légalement.

À votre insu et à l’insu des internautes scrutés, un tiers peut ainsi accéder à des informations confidentielles. Outre la violation de la vie privée, cette exposition peut servir des fins malveillantes, telles que le ciblage de spam, la fraude ou le vol d'identité.

Et votre responsabilité est engagée

La Cnil est formelle et invite “l’ensemble des responsables de traitement utilisant cet outil (GA) à se mettre en conformité”.

Autrement dit, les éditeurs de sites internet, en leur qualité de Responsable de Traitement, sont responsables des manquements de Google en la matière. Ils doivent revoir leurs habitudes et privilégier des solutions de mesure d’audience respectueuses de la vie privée des internautes.

Empêcher GA de transférer vos données hors de l’UE ? Pas si simple

Augmenter la protection sur Google Analytics : pas à 100 %

Suite à la mise en demeure, Google propose deux fonctions pour limiter l’accès à vos données. La pseudonymisation et l’anonymisation, qui elle, n’est pas applicable à tous les transferts. En outre, les informations fournies par le géant du web ne permettent pas de déterminer si l’anonymisation a lieu avant le transfert aux États-Unis.

D’autres solutions, mais lourdes et coûteuses

Des solutions techniques complémentaires, telles que le renforcement de l’anonymisation et la proxyfication restent indispensables à ce jour en complément de GA pour sanctuariser vos données.
Une voie lourde et coûteuse qui peut limiter la profondeur d’analyse de vos sites. Sans compter qu’elles doivent être parfaitement exécutées pour être efficaces.
Afin d’écarter tout risque et toute panique, Big District préconise l’usage d’une alternative à Google offrant des options de stockage et de traitement de données plus strictes et localisées.

Ce que vous pouvez faire avant ou après le 30 juin 2023

Deux possibilités s'offrent à vous afin de continuer la collecte des données :

1 / Migrer vers GA4 - avant le 30 juin 2023 idéalement

pour continuer de recevoir les nouvelles statistiques de votre site via Google Analytics.

Les étapes à suivre

Activation de GA4
Création de la propriété
Récupération du tracker
Remplacement du tracker Universal analytics par le tracker GA4 dans le code de votre site
Se familiariser avec la nouvelle interface et les nouvelles options, un petit temps d’adaptation est nécessaire.

Que se passera-t-il si vous ne faites rien ?

Si vous n'activez pas GA4, vous aurez accès à vos rapports Universal Analytics pendant une certaine période, non définie par Google. Vos statistiques ne seront plus collectées. Il faut agir.

Pas si automatique que ça

GA dit procéder à la configuration automatique de votre propriété mais attention, il vous faut mettre à jour le tracker sur votre site pour continuer d’analyser les performances et les comportements de navigation.

Présentation de Google Analytics 4 Le calendrier d’abandon d’Universal Analytics

2 / Migrer vers une solution alternative conforme et tout aussi performante - avant ou après le 30 juin 2023

Plusieurs outils d’analyse de trafic ont reçu le feu vert de la CNIL. Vous pouvez basculer vers un concurrent à tout moment.

La liste ici. On vous explique dans le 2de partie de cet article, l’outil que l’on préfère.

Vous souhaitez un accompagnement pour votre mise en conformité ?

Contactez-nous !

Matomo : le choix de notre équipe comme alternative à Google Analytics

En tête des alternatives éthiques à Google Analytics, Matomo a retenu nos faveurs pour sa facilité de déploiement, de prise en main et l’hébergement des données en Europe.

Matomo vs Google analytics 4

Deux options au choix chez Matomo

1. L’installation avec bandeau de consentement

L’installation avec bandeau de consentement est l’approche la plus similaire à l’utilisation traditionnelle de Google Analytics.

Un cookie de tracking est utilisé par Matomo, mais les données ne sont pas utilisées à d’autres fins afin de respecter le RGPD.

Un bandeau d’acceptation des cookies (avec absence de tracking par défaut) est à présenter au visiteur. Doivent également être présents une information sur les données personnelles éventuellement collectées, proposée sur une page sur la politique de gestion des données personnelles, ainsi qu’un opt-out permettant au visiteur d’éviter le tracking anonyme.

2.L’installation avec exemption de consentement

Cette installation avec exemption de consentement permet d’éviter la mise en place d’un bandeau de validation du consentement.

Dans cette option, aucun cookie de tracking n’est utilisé. Les données ne sont pas utilisées pour d’autres usages que les statistiques, sans collecte de données personnelles. Les visiteurs ne sont pas suivis d’un site à l’autre. Ce paramétrage à l’avantage de ne pas nécessiter de bandeau de consentement, mais à des conséquences sur la disponibilité des statistiques :

pas de rapport de profil visiteur (localisation, device, navigateur, IP, OS, screen, comportement, récurrence des visites)
pas de différence entre cession et utilisateurs (new visitor / returning visitor)
pas de carte de géolocalisation des visiteurs en temps réel
anonymisation des commandes pour les sites e-commerce
pas de dimensions personnalisés (données statistiques non “standards”) liées à des données personnelles

Par où commencer pour utiliser Matomo ?

Créer on compte sur matomo.org
Choisir l’auto-hébergement ou l’hébergement cloud
Choisir le mode de récolte : avec ou sans consentement
Procéder à l’installation du tracker (balise)
Réaliser un export de vos données depuis Universal Analytics

L’importation de vos données, la mise en place et la mise au point de vos critères de collecte peuvent être assurées par notre équipe de webmastering et maintenance en quelques heures.

Parlons maintenant tarif.

La protection de vos données a un coût

Google est gratuit contre les données de vos utilisateurs

La gratuité de Google Analytics se fait en échange de l’utilisation de votre data, pour améliorer les services de la maison, mais aussi et surtout pour affiner la publicité ciblée, principale source de revenus de la compagnie américaine.

Mais bien protéger vos données sur Google Analytics est payant

Outre le manque d’assurance d’avoir une protection complète et durable, le déploiement de mesures techniques additionnelles a un coût initial et récurrent, qui limitent son intérêt face à une solution concurrente, directement conforme et tout autant, voire plus performante.

Le coût de la sérénité et de l’éthique

Voici une idée des coûts pour basculer vers Matomo clé-en-main.

1. L’abonnement Matomo

50 000 hits = 190 €HT / an
100 000 hits = 350 €HT / an
300 000 hits = 690 €HT / an
Voir les détails des tarifs sur le site de Matomo

(Un hit correspond à un chargement sur le site, par exemple l’ouverture d’une page.)

2. La mise en route par notre équipe en quelques heures

L’intervention est rapide, générant des coûts limités.
Elle inclut :

le paramétrage du compte Matomo
l’installation du tracker (balise) dans le code source du site
la suppression de l’éventuel bandeau Cookies déjà installé, la mise à jour de la politique de gestion des données personnelles publiée sur le site, la création ou la modification des opt’in, le cas échéant.

À noter : Le placement du tracker peut être réalisé via un TAG Manager, une solution de gestion des balises permettant de mieux les organiser. À ce propos, la question qui peut se poser : puis-je utiliser Google Tag Manager et rester aligné avec le RGPD ?

La réponse est oui. GTA ne collecte pas de données directement, son utilisation ne vient pas en contradiction avec le RGPD.

3. En option, améliorer sa stratégie web analytics

Ce changement d’outil est l’occasion de réaliser une configuration plus pertinente avec des statistiques et KPIs sur-mesure, souvent plus utiles que les données génériques classiques.

Contactez-nous pour en discuter.

En résumé

Google Analytics ne répond toujours pas pleinement aux exigences du RGPD et de la CNIL.

Choix 1, si vous décidez de conserver l’outil de Google, vous devez être conscient que vous êtes légalement responsable de ce choix et que cette option n’est pas validée par la CNIL.

Choix 2, se tourner vers une solution alternative web analytics légale et aux performances comparables. Une option qui n’est plus gratuite et exige une petite bascule technique, que nos équipes peuvent vous aider à mener avec succès.