Cela fait déjà quatre ans que le Règlement général européen sur la protection des données (RGPD, également appelé DSGVO en allemand, et GDPR en anglais) est entré en vigueur.
Un délai amplement suffisant pour se mettre en conformité, surtout pour une entreprise aussi grande et innovante que Google. Mais qu’en est-il exactement ?
Pour savoir comment le RGPD affecte Google Analytics 4 et comprendre la situation actuelle en matière de conformité, voici ce qu’il faut savoir.
Google Analytics 4 respecte-t-il les exigences du RGPD ?
Non. Depuis la mi-2022, Google Analytics 4 (GA4) n’est plus conforme au RGPD. Malgré l’ajout de fonctionnalités supplémentaires axées sur le respect de la vie privée, GA4 reste dans la ligne de mire des régulateurs européens. Depuis l’invalidation du bouclier de protection des données UE-États-Unis en 2020, Google n’a toujours pas réglementé la protection des données entre l’UE et les États-Unis. La société ne protège actuellement pas suffisamment les données des citoyens et résidents de l’UE contre les lois de surveillance américaines. Cela constitue une violation directe du RGPD.
Google Analytics et le RGPD : une relation complexe
Depuis l’entrée en vigueur du RGPD en 2018, les régulateurs européens surveillent Google de près.
Bien que le géant ait pris certaines mesures pour se préparer aux exigences du RGPD, il ne s’est jamais entièrement conformé à d’importantes réglementations relatives au stockage, au transfert et à la sécurité des données des utilisateurs.
Les relations entre Google et les régulateurs de l’UE se sont envenimées après que la Cour de justice de l’Union européenne (CJUE) a invalidé le bouclier de protection des données UE-États-Unis, un moyen de pression utilisé par Google pour les transferts de données entre l’UE et les États-Unis. Après 2020, les contentieux concernant le RGPD contre Google se sont enchaînés.
Le présent article résume les principaux jalons de cette histoire et explique quelles en sont les conséquences pour les utilisateurs de Google Analytics.
2018 : Google Analytics fait face au RGPD
En 2018, l’UE a adopté le Règlement général sur la protection des données (RGPD), un ensemble de lois portant sur le respect de la vie privée et la sécurité des données, applicables à tous les États membres. Chaque entreprise en contact avec des citoyens et/ou des résidents de l’UE était tenue de s’y conformer.
Avec le RGPD, les lois sur la protection des données ont été harmonisées entre les États membres et des dispositions supplémentaires ont été mises en place pour définir ce qui constitue des informations personnelles sensibles (ou IPS). En règle générale, les IPS comprennent toutes les données relatives à la personne :
- L’origine raciale ou ethnique
- Le statut professionnel
- Les croyances religieuses ou politiques
- L’état de santé
- Les données génétiques ou biométriques
- Les informations financières (telles que les données relatives aux modes de paiement)
- L’adresse et les numéros de téléphone
On a interdit aux entreprises de recueillir ces informations sans consentement explicite (et même avec celui-ci dans certains cas). Si ces données sensibles sont collectées, elles sont également soumises à des exigences strictes sur la manière dont elles doivent être stockées, sécurisées, transférées et utilisées.
7 grands principes du RGPD expliqués
L’article 5 du RGPD énonce sept grands principes en matière de protection des données personnelles et du respect de la vie privée :
- Licéité, loyauté et transparence : les données doivent être obtenues légalement, recueillies avec le consentement des intéressés et dans le respect des lois.
- Définition de la finalité : toutes les informations personnelles doivent être recueillies à des fins spécifiques, explicites et légales.
- Minimisation des données recueillies : les entreprises ne doivent collecter que les données nécessaires et adéquates, conformes à la finalité énoncée.
- Exactitude : l’exactitude des données doit être garantie à tout moment. Les entreprises doivent disposer de mécanismes permettant d’effacer ou de corriger sans délai les données inexactes.
- Délai de conservation : les données doivent être conservées uniquement pendant la durée nécessaire à la réalisation de la finalité déclarée. En revanche, il n’est établi aucune limite de temps maximale en matière de stockage des données.
- Intégrité et confidentialité (sécurité) : les entreprises doivent prendre les mesures nécessaires pour garantir un stockage sécurisé des données et empêcher tout accès illégal ou non autorisé à celles-ci.
- Responsabilité : les entreprises doivent être en mesure de prouver qu’elles respectent les principes susmentionnés.
Google a affirmé avoir pris les dispositions nécessaires pour rendre tous ses produits conformes au RGPD avant l’échéance. Mais en pratique, ça n’a pas toujours été le cas.
En mars 2018, un groupe d’éditeurs a admonesté Google pour ne pas leur avoir fourni suffisamment d’outils en vue de la conformité au RGPD :
"[V]ous refusez de fournir aux éditeurs des informations spécifiques sur la manière dont vous allez recueillir, partager et utiliser les données. Imposer à l'éditeur le fardeau d'obtenir un nouveau consentement, sans lui fournir les informations spécifiques nécessaires pour assurer une transparence suffisante ou pour obtenir le consentement requis, spécifique, détaillé et éclairé, en vertu du RGPD, est inacceptable."
Le formulaire de consentement au RGPD proposé par Google Analytics était difficile à mettre en œuvre et ne disposait pas d’options de personnalisation. En fait, Google « prend des décisions unilatérales » sur la manière dont les données recueillies sont stockées et utilisées.
Les utilisateurs n’avaient aucun moyen de connaître ni de contrôler les différents usages qu’il était prévu de faire des données personnelles, ce qui rendait impossible le respect de la deuxième clause.
Sans surprise, Google a été parmi les premières entreprises à devoir faire face à un procès relatif au RGPD (avec Facebook).
En 2019, la CNIL, l’autorité française de régulation des données, a fait valoir que Google ne communiquait pas suffisamment clairement sur sa collecte de données dans les différents produits, ce qui constitue une violation du RGPD. Après un appel infructueux, Google a dû payer une amende de 50 millions d’euros et promettre de faire mieux.
2019 : Lancement de Google Analytics 4
Au cours de l’année 2019, Google a tenté, avec raison, de résoudre certains de ses manquements au RGPD dans tous ses produits, Google Universal Analytics (UA) inclus.
La société a notamment ajouté un mécanisme de consentement plus visible pour le suivi en ligne et fourni des conseils de mise en conformité supplémentaires que les utilisateurs étaient invités à suivre. En parallèle, Google a également procédé à des modifications techniques de son mécanisme de traitement des données afin de se conformer à la réglementation.
Bien que Google ait réglé certains problèmes, il en a omis d’autres. Selon une enquête indépendante menée en 2019, les enchères publicitaires en temps réel (real-time-bidding) de Google utilisaient toujours les données des citoyens et résidents de l’UE sans leur consentement, grâce à une faille appelée « Pages Push ». Ils ont toutefois réussi à rapidement y remédier avant que les allégations ne soient portées devant les tribunaux.
En novembre 2019, Google a publié une version bêta de la nouvelle version du produit, Google Analytics 4, censé remplacer Universal Analytics.
La version GA4 était accompagnée d’un ensemble de nouvelles fonctionnalités axées sur le respect de la vie privée permettant de répondre à certaines exigences du RGPD, telles que :
- Un mécanisme de suppression des données. Les utilisateurs peuvent désormais demander l’exportation de certaines données précises des serveurs d’Analytics via une nouvelle interface.
- Une période de stockage des données plus courte. Il est désormais possible de raccourcir la période de conservation par défaut à 2 mois (au lieu de 14 mois) ou d’ajouter une limite personnalisée.
- L’anonymisation des adresses IP. GA4 n’enregistre ni ne stocke les adresses IP par défaut.
Google Analytics a également actualisé ses conditions de traitement des données et apporté des modifications à sa politique de confidentialité.
Bien que Google ait paré à plusieurs manquements, Google Analytics 4 présentait encore de nombreuses limitations et n’était toujours pas conforme au RGPD.
2020 : Décision d’invalidation du bouclier de protection des données UE-États-Unis
Dans le cadre des préparatifs au RGPD en 2018, Google avait désigné son entité irlandaise (Google Ireland Limited) comme le « contrôleur des données » légalement responsable des informations des utilisateurs de l’EEE et de la Suisse.
Voici ce que déclare la société dans son communiqué :
Dans un premier temps, Google supposait que ce changement juridique l’aiderait à garantir la conformité aux exigences du RGPD puisque, « juridiquement parlant », une entité européenne était chargée des données européennes.
En pratique, cependant, les données des consommateurs de l’EEE étaient encore principalement transférées et traitées aux États-Unis, où se trouvent la majeure partie des centres de données de Google. Jusqu’en 2020, de tels transferts de données transfrontaliers étaient considérés comme légaux en raison du bouclier de protection des données UE-États-Unis.
La Cour de justice de l’Union européenne a toutefois décidé, en juillet 2020, que ce système n’offrait pas une protection adéquate des données transmises numériquement face aux lois de surveillance américaines. Par conséquent, les entreprises comme Google ne pouvaient plus y recourir. Le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT) a abouti à la même conclusion en septembre 2020.
L’invalidation du bouclier de protection des données UE-États-Unis a plongé Google dans une situation difficile.
(« Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée ») L’article 14. f du RGPD stipule expressément :
"le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, (...) la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition."
L’invalidation du bouclier de protection des données UE-États-Unis a eu pour effet d’interdire à Google de transférer des données vers les États-Unis. Les dispositions du RGPD l’obligeaient par ailleurs à divulguer la localisation exacte des données.
Or, Google Analytics (comme de nombreux autres produits) ne disposait d’aucun mécanisme pour :
- Garantir le stockage des données au sein de l’UE
- Sélectionner un lieu de stockage régional désigné
- Informer les utilisateurs de l’emplacement du stockage des données ou des transferts de données en dehors de l’UE
Ces éléments ont placé Google Analytics en violation directe du RGPD, une situation qui perdurera jusqu’en 2022.
2020-2022 : infractions au RGPD et amendes pour Google
La décision judiciaire de 2020 a permis aux autorités de réglementation des données de chaque pays d’intenter des poursuites en vertu du RGPD contre Google.
Google Analytics, en particulier, a fait l’objet de nombreuses poursuites.
- La Suède a d’abord infligé une amende à Google pour avoir enfreint le RGPD en ne remplissant pas ses obligations quant aux demandes de suppression des données en 2020.
- La France a rejeté la fonction d’anonymisation des adresses IP de Google Analytics 4 au motif qu’elle ne constituait pas une mesure suffisante pour protéger les transferts de données transfrontaliers. Malgré cette fonction, les services de renseignement américains sont toujours en mesure d’accéder aux adresses IP des utilisateurs et à d’autres IPS. La France a déclaré Google Analytics illégal et a imposé une amende de 150 millions d’euros.
- L’Autriche a également jugé Google Analytics non conforme au RGPD et a proclamé le service « illégal ». Les autorités cherchent maintenant à imposer également une sanction.
L’autorité néerlandaise de protection des données et l’autorité norvégienne de protection des données ont également jugé Google Analytics coupable de non-respect des exigences du RGPD et cherchent à limiter l’utilisation de Google Analytics.
Les nouveaux contrôles de confidentialité dans Google Analytics 4 ne répondent pas au problème sous-jacent : le transfert non réglementé et non consensuel de données entre l’UE et les États-Unis.
La non-conformité de Google Analytics aux exigences du RGPD expose tout site Web qui suit des visiteurs européens ou en analyse les données à des persécutions légales.
C’est d’ailleurs déjà le cas. noyb, une ONG européenne soucieuse du respect de la vie privée, a déjà intenté plus de 100 procès contre des sites Web européens utilisant Google Analytics.
2022 : Bouclier de protection des données UE-États-Unis 2.0. Négociations
Google n’est pas la seule entreprise américaine touchée par l’invalidation du bouclier de protection des données UE-États-Unis. Le jugement rendu expose des milliers d’entreprises du secteur numérique à la menace de non-conformité.
Pour parer à la situation, les autorités américaines et européennes ont entamé des pourparlers au printemps 2022.
La présidente de la Commission européenne, Ursula von der Leyen, a déclaré que son équipe travaillait en collaboration avec l’administration Biden sur le nouvel accord qui « permettra la circulation de flux de données prévisibles et fiables entre l’Union et les États-Unis, dans le respect de la vie privée et des libertés civiles. »
Le processus de négociation n’en est cependant qu’à ses débuts. La situation est loin d’être réglée et de nombreux points de désaccord subsistent, comme nous l’avons évoqué sur Twitter (n’hésitez pas à nous y suivre !).
Les États-Unis ne sont pas très enthousiastes à l’idée de modifier leurs lois de surveillance et cherchent avant tout à les aligner sur celles en vigueur dans l’UE. Il se peut que de telles modifications ne satisfassent toujours pas la CJUE, qui a le pouvoir de bloquer l’accord de surveillance ou de l’invalider une fois de plus.
En attendant que ces problèmes soient réglés, les utilisateurs de Google Analytics, qui recueillent des données sur les citoyens et/ou résidents de l’UE, sont loin d’être à l’abri. Tant qu’ils utilisent GA4, ils peuvent faire l’objet de poursuites liées au RGPD.
En résumé
- Google Analytics 4 et Google Universal Analytics ne respectent pas les exigences du RGPD en raison de l’invalidation du bouclier de protection des données UE-États-Unis en 2020.
- Les organismes de surveillance des données français et autrichiens ont qualifié les opérations de Google Analytics d' »illégales ». Les autorités suédoises, néerlandaises et norvégiennes affirment également que la société est en infraction avec le RGPD.
- Tout site Web utilisant GA pour collecter des données sur les citoyens et/ou résidents européens peut être poursuivi en justice pour violation des exigences du RGPD (ce qui est déjà le cas).
- Les discussions concernant le bouclier de protection des données UE-États-Unis 2.0 visant à réglementer les transferts de données entre l’UE et les États-Unis n’ont fait que commencer et pourraient prendre des années. Même en cas d’accord, le ou les nouveaux cadres peuvent à nouveau être invalidés par les régulateurs de données locaux, comme cela s’est déjà produit par le passé.
Il est temps d’opter pour une alternative à Google Analytics conforme au RGPD
En conservant la pleine propriété des données, vous vous assurez une conformité optimale au RGPD.
En choisissant une solution d’analyse Web transparente qui garantit la pleine propriété des données, vous bénéficiez de l’assurance qu’aucune collecte, aucun traitement ou transfert de données « à votre insu » n’a lieu.
Contrairement à Google Analytics 4, Matomo dispose de toutes les fonctionnalités dont vous avez besoin pour garantir votre conformité au RGPD :
- Anonymisation intégrale des données
- Utilisation des données à des fins uniques
- Mécanismes de consentement et de refus faciles à utiliser
- Utilisation de cookies primaires par défaut
- Accès simple pour recueillir les données
- Suppression rapide des données
- Stockage des données au sein de l’UE pour Matomo Cloud (ou stockage dans le pays de votre choix avec Matomo Auto-hébergé)
Étudiez vos audiences en respectant la vie privée et protégez votre entreprise contre les risques juridiques inutiles.
Commencez votre essai gratuit de 21 jours (sans carte de crédit) afin de découvrir le fonctionnement des outils d’analyse de sites Web pleinement conformes au RGPD !
21 day free trial. No credit card required.