Préambule : cet article est un point de vue personnel sur le sujet. Je ne suis pas expert juridique, et avant toute décision, je vous conseille vivement d’échanger avec vos équipes juridiques.
En octobre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié une mise à jour de ses lignes directrices avec de nouvelles recommandations sur le recueil du consentement des cookies et traceurs.
Cette date de sortie était initialement prévue plus tôt, mais elle a été reportée en raison de la crise sanitaire de 2020. Ces changements étaient extrêmement attendus par les professionnels du web, tant les impacts pouvaient être importants.
Nous allons aujourd’hui nous focaliser sur l’outil Google Analytics. Je vous avais livré dans un précédent article, les ajustements nécessaires pour prétendre à une exemption de consentement sur vos sites. Cependant, au fil des discussions, conférences, et échanges sur le sujet, il s’avère que la gestion du consentement vis à vis de Google Analytics n’est pas si évidente que ça. D’où la rédaction de cet article aujourd’hui.
Un peu de contexte sur ces directives RGPD
Souvenez-vous, en mai 2018, une véritable bombe est arrivée avec le Règlement Général sur la Protection des Données (RGPD). Concrètement, ce texte vise à encadrer toute la collecte et le traitement des données personnelles des utilisateurs. Cela a soufflé un vent de panique pour les entreprises car les changements étaient relativement importants. Mais lorsque l’on prend un peu de recul, d’un point de vue utilisateur, cela allait apporter beaucoup plus de transparence sur ces sujets.
En 2019 la CNIL suit ce mouvement et adopte en juillet de nouvelles lignes directrices pour mettre en lumière les obligations à respecter en matière de recueil de consentement. C’est à partir de ce moment-là que vous avez vu « fleurir » des bannières relatives aux cookies sur vos sites préférés.
Dernier épisode en date, la CNIL, qui suite à une décision du conseil d’Etat rendue publique en juin 2020, a mis à notre disposition ses nouvelles lignes directrices concernant les cookies et autres traceurs (septembre 2020). L’objectif, à travers ce texte, est de redonner le pouvoir aux internautes vis-à-vis de leurs données personnelles, que ce soit sur des sites web ou des applications mobiles.
Pour aider à la mise en place de cette nouvelle règlementation, la CNIL publie également des recommandations pour aider les équipes métier à mettre tout cela en pratique.
Maintenant que nous avons tous les éléments en main, nous allons nous attarder sur l’outil Google Analytics, et la gestion du consentement liée.
Google Analytics peut-il être exempté de consentement ?
Si vous avez suivi toutes les étapes préconisées dans mon précédent article pour pouvoir prétendre à une exemption de consentement via Google Analytics, pourquoi se-retrouve-t-on ici ?
Et bien parce qu’en réalité, tout n’est pas aussi évident que ça lorsque l’on se penche plus en détail sur les conditions d’exemption fixées par la CNIL. Au premier abord, en ayant fait les ajustements nécessaires, on peut penser que l’outil Google Analytics pouvait bénéficier de cette dispense de consentement. Cependant, il y a des points sur lesquels une zone d’ombre était encore présente.
La CNIL précise deux informations très importantes dans les conditions à remplir pour bénéficier d’une exemption de consentement. Il s’agit des mentions suivantes :
- Votre mesure d’audience doit être réalisée « pour le compte exclusif de l’éditeur »
- Sur l’utilisation de vos données, il ne faut pas « que les données soient transmises à des tiers »
Ces mentions semblaient rendre incompatibles une exemption de l’outil Google Analytics dans sa version gratuite comme payante (via la licence Google Analytics 360). En effet, lors de récentes conférences sur le sujet, certains acteurs ainsi que la CNIL ont avancé le fait que Google pouvait réutiliser vos données, notamment pour l’amélioration de ses services (spécifié dans ses conditions d’utilisations, disponibles en ligne). Et par conséquent, malgré les ajustements préconisés dans mon article précédent, il n’était donc pas possible de désactiver complètement ces partages de données.
Il n’en est rien, et toute cette polémique serait en réalité simplement liée à une mauvaise interprétation de la traduction des conditions d’utilisations de la firme américaine. A l’heure où j’écris ces lignes, rien d’officiel n’a été mis en ligne par Google, mais cela devrait être fait d’ici quelques jours / semaines, afin de mettre fin à ces vifs débats sur le sujet !
Google Analytics et consentement, en conclusion.
D’un côté, il est aujourd’hui possible d’ajuster le paramétrage de l’outil Google Analytics pour répondre aux exigences de la CNIL (durée de vie des cookies, séparation des différentes finalités…). Mais d’un autre côté, il restait des points à éclaircir pour pouvoir dire de façon formelle que Google Analytics pouvait bénéficier d’une exemption de consentement.
Avec les éléments à disposition, et les clarifications que devrait publier Google concernant la réutilisation des données, je dirais que le recueil du consentement ne sera pas toujours obligatoire pour déposer les cookies d’une solution comme Google Analytics.
Il faut bien avoir en tête que l’outil Google Analytics ne doit plus être vu comme un seul « bloc ». Il permet de faire une multitude de choses (reporting analytics, publicité, croisement de données…).
Le recueil du consentement est donc à apprécier en fonction de la configuration que vous mettrez en place pour vos sites et applications.
- Par exemple, si vous activez le lien automatique avec Google Ads et que vous utilisez vos audiences pour de la publicité ciblée, vous devrez bien entendu classer vos cookies dans la catégorie des cookies de publicité.
- A l’inverse, si vous respectez scrupuleusement les lignes directrices mises en ligne par la CNIL, et que vous vous servez de l’outil à une finalité exclusive de mesure d’audience pour et seulement pour votre compte, alors vous pourrez prétendre à une exemption de consentement.
Par contre, il y a deux choses qui me paraissent indispensables pour que les équipes « métier » puissent avancer sur ces problématiques :
- Google doit clarifier ce point sur la réutilisation et le partage des données de façon officielle. Certes, la firme fournit l’outil mais n’est donc pas en mesure de prendre des décisions juridiques pour le compte de ses clients. Elle se doit tout de même d’apporter les précisions et informations nécessaires pour que les équipes opérationnelles et juridiques puissent agir en connaissance de cause. Espérons que ces éléments soient diffusés de leur part d’ici le 31 mars 2021.
- La CNIL devra également mettre à jour ses publications pour adopter une position claire et compréhensible sur la conduite à adopter vis-à-vis de ces outils. Ils sont utilisés par une grande majorité de sites web, et jusque-là, les éléments théoriques apportés par la commission étaient parfois en contradiction avec la parole de certains employés (lors de conférences en ligne notamment). Il serait bien d’adapter leurs recommandations officielles en ce sens.
Des alternatives sont également possibles
Lorsque vous avez une stack analytics basée sur Google Analytics, il est effectivement difficile de penser à refondre complètement celle-ci. Mais pour être complètement objectif sur ce sujet d’actualité, je souhaitais également vous parler d’autres outils qui permettent (avec la bonne configuration) de bénéficier également d’une exemption de consentement. Il s’agit de Matomo Analytics et de l’Analytics Suite d’AT Internet
Matomo Analytics
Matomo n’est autre que la nouvelle version de Piwik. C’est une solution Analytics recommandée par la CNIL et développée par un français (Matthieu Aubry). Matomo est depuis toujours, axé sur le respect de la vie privée. C’est une solution open-source. Le gros point positif est que vous pouvez héberger celle-ci directement sur vos serveurs. Mais il faut savoir que même en cas d’hébergement du côté de Matomo, vous restez à 100% propriétaire de vos données. Et c’est un détail relativement important ! Si vous souhaitez en savoir un peu plus sur l’outil, je vous invite à vous rendre sur leur site. Tout y est très bien expliqué.
Analytics Suite – AT Internet
AT internet est désormais un acteur incontournable dans le monde de l’Analytics, notamment en France avec de nombreux « grands comptes » qui utilisent leur solution. Cette société française a très vite mis les enjeux relatifs aux données des utilisateurs au centre de ses préoccupations. Et c’est donc tout naturellement qu’elle propose aujourd’hui un outil bien construit, très complet, qui peut bénéficier d’une exemption de consentement. Tout comme Matomo, la solution fait partie de celles recommandées et mises en avant par la CNIL. Pour aller y jeter un coup d’œil, c’est par ici.