Pourquoi Google Analytics n’est pas illégal, et autres faits.

Comment en est-on arrivé là ?

Depuis l’entrée en application du RGPD en mai 2018, la collecte et le stockage des données sont au cœur des préoccupations des spécialistes du marketing, qui souhaitent naturellement s’assurer que leurs opérations respectent la réglementation européenne. De nombreuses plateformes, parmi lesquelles Google, s’appuient sur des serveurs situés aux États-Unis pour héberger tout ou partie de leurs services phares, et avaient collectivement adopté le Privacy Shield comme mécanisme d’encadrement des transferts de données de l’UE vers les États-Unis.

Cependant,  en juillet 2020, la Cour de Justice de l’UE est venue invalider le Privacy Shield, celui-ci ne garantissant pas, selon la Cour, un niveau de protection suffisant face aux lois de surveillance américaines. À la suite de cette décision et afin de continuer à encadrer les transferts de données vers ses serveurs aux Etats-Unis, Google a mis à jour ses Google Ads Data Processing Terms pour y intégrer les clauses contractuelles types de la Commission européenne (CCT), et a partagé à ses clients et partenaires une liste de mesures techniques et opérationnelles, conformément au jugement de la CJUE. 

En août 2020, un organisme à but non lucratif appelé NOYB a déposé 101 plaintes contre des sites web dans 30 États membres de l’UE et de l’EEE en lien avec leur utilisation de Google Analytics et Facebook Connect. Suite à ces plaintes, les “CNIL européennes” se sont réunies pour parvenir à une réponse cohérente et homogène. C’est la raison pour laquelle nous voyons aujourd’hui émerger des décisions dans différents pays de l’EEE, et il y a fort à parier que d’autres autorités viendront publier des conclusions analogues dans un futur proche.

Quelle est la problématique ?

Adrien Hug-Korda, Group Data Protection Officer

La problématique vient du fait que les données – y compris des données personnelles – collectées sur un site web au sein de l’UE par Google Analytics sont potentiellement envoyées aux États-Unis, où les lois sur la protection des données n’offrent pas un niveau de protection équivalent à celui du RGPD. Les autorités de contrôle de l’UE ont conclu que Google, en raison des lois de surveillance américaines, pourrait être tenu de partager ces données avec les agences de renseignement américaines et que les mesures techniques et opérationnelles mises en œuvre par l’entreprise ne suffiraient pas à garantir la protection des données des utilisateurs européens.

Cela signifie donc la fin de Google Analytics pour l’UE ?

Adrien Hug-Korda, Group Data Protection Officer

En un mot : non. Les autorités ont déclaré que les mesures de sécurité mises en œuvre par Google et la documentation technique disponible concernant certains paramètres de confidentialité – tels que l’anonymisation de l’adresse IP – ne permettaient actuellement pas de considérer que Google Analytics était entièrement conforme à la réglementation. Toutefois, des solutions existent. Par exemple, Google pourrait introduire des mesures de sécurité supplémentaires qui viendraient assurer la pleine application des CCTs et apaiser les craintes des autorités de l’Union, ou bien encore l’UE et les États-Unis pourraient convenir de la mise en place d’un nouveau mécanisme de transfert de données.

Cela impacte-t-il seulement Google Analytics ?

Daniel Smulevich, VP Analytics

Non, cela devrait affecter de nombreux outils basés aux États-Unis, car le problème concerne l’accès potentiel des agences de renseignement américaines aux données personnelles. Toute entreprise qui s’appuyait sur le Privacy Shield entre l’UE et les États-Unis pourrait donc être concernée.

Alors que les procédures judiciaires actuelles sont centrées sur Google, il est à prévoir que d’autres plateformes finiront par rapidement chercher des solutions afin d’atténuer les risques pour leurs clients.

Que fait Google pour rectifier la situation ?

Nelson Chouissa, Senior Data & Insight Director

Le plus gros problème de Google est de savoir où les données sont traitées et prétraitées. Afin de se rapprocher d’une véritable conformité au RGPD, Google doit s’assurer que toutes les données de l’UE ne sont pas accessibles aux agences de surveillance américaines.

Google travaille actuellement sur plusieurs solutions de confidentialité dans GA4, qui permettraient de limiter les risques sur ce point. Il est important de mentionner que le respect de la vie privée est un élément clé de GA4 : Google a conçu et construit cet outil pour le rendre suffisamment agile et flexible afin d’affronter les enjeux liés aux législations actuelles et futures en matière de protection des données privées.

Comment la situation va-t-elle évoluer ?

Francois de Broissia, Data & Analytics Director

À l’heure actuelle, nous ne pouvons pas prédire ce qui va se passer, car il y a une multitude de facteurs en jeu. Je recommande donc à mes clients de prendre le temps de se préparer à faire face à plusieurs scénarios. Je travaille avec eux afin d’élaborer des scénarios probables en fonction de la façon dont tout cela va se dérouler, puis nous nous attachons à mettre en œuvre des solutions à la fois rentables, efficaces et aptes à atténuer les risques pour eux.

Quelle est la première chose à faire dès à présent ?

Francois de Broissia, Data & Analytics Director

La première chose à faire est de prendre du recul. Ne vous laissez pas entraîner par la spéculation et la panique. Rien ne se résout dans la précipitation, et cela accroît le risque de commettre des erreurs.

Nous disons à nos clients que l’anticipation permet d’atténuer le risque. Nous travaillons activement avec certains de nos clients pour identifier les solutions qui leur conviendront le mieux en fonction de leurs objectifs commerciaux. Un changement d’outil n’est pas une tâche facile, il y a beaucoup de coûts associés qui doivent être identifiés, quelle que soit la décision finale.

Il est possible d’ajuster la configuration de Google Analytics de manière à réduire temporairement les risques à moindre coût. Ces modifications ne fournissent pas de garantie de mise en conformité  mais peuvent aider à envisager d’éventuelles futures décisions, ainsi qu’à montrer aux autorités que vous faites tout votre possible pour protéger la vie privée des utilisateurs.

Que fait-on en ce moment ?

Per-Yann Munck, Data & Analytics Director

Nous disons aux clients qu’il faut atténuer le risque par rapport aux bénéfices. Nous travaillons activement avec certains de nos clients pour identifier les solutions qui leur conviendraient le mieux en fonction de leurs objectifs business. Certains clients ont pesé les risques encourus et se tournent vers des outils d’analyse différents qui modifieront leurs capacités de mesure. 

La plupart d’entre eux font une pause et utilisent notre expertise pour comprendre où sont leurs points faibles et nous travaillons ensemble pour fournir des solutions durables. Nous disposons d’un certain nombre de produits Jellyfish spécialement conçus pour limiter les risques.

Sur le long terme, le passage à GA4 (et l’abandon d’Universal Analytics) est également essentiel. Toute optimisation faite par Google se fera sur GA4, mais le modèle de données est aussi une énorme valeur ajoutée qui peut aider les clients à gagner en flexibilité pour leur setup.

Adapt, don’t hack

Alex Davies, VP Analytics

Si je ne devais dire qu’une chose aux personnes qui s’interrogent sur ces décisions, ce serait d’être flexible et de s’adapter aux changements lorsqu’ils surviennent. Le respect de la vie privée des utilisateurs doit être au cœur de la mesure. N’essayez pas de pirater le système ou de trouver des solutions de contournement via les anciens processus. Si cela peut résoudre certains problèmes à court terme, cela ne fonctionnera pas sur le long terme et vous devrez dans tous les cas investir plus de temps et d’argent à l’avenir. N’oubliez pas : adaptez-vous, ne piratez pas !

Une autre raison de rester agile 

Dan Smulevich, VP Analytics

Bien que les nouvelles concernant la non-conformité de GA soient au cœur de l’actualité, la conversation va continuer à évoluer et il est probable que de nouveaux facteurs soient mis en lumière concernant la conformité à la RGPD. Il y a quelques jours, NOYB (None Of Your Business) a déposé une deuxième vague de plaintes à l’encontre de bannières de cookies trompeuses. Cela pourrait confirmer que pour être conformes à la RGPD, les bannières de cookies doivent opter pour une approche simple de type OUI/NON.

Lorsque celles-ci sont implémentées, les taux de consentement diminuent fortement en fonction des choix historiques, ce qui incite plus que jamais les annonceurs à s’appuyer sur des solutions de modélisation des conversions afin de combler ces nouvelles lacunes en matière de données. Très peu de plateformes disposent des données et des capacités permettant aux annonceurs de conserver leurs capacités de mesure et d’analyse. Google Analytics 4 en fait partie. Pour moi, c’est un signe que les marques devraient conserver Google Analytics. Comme mentionné précédemment dans cet article, il est important de rester agile, et prendre des décisions hâtives maintenant (telles que supprimer GA) pourrait causer d’autres problèmes en aval.