Google Analytics semble désormais conforme au RGPD. Il s’agit là d’une nouvelle importante pour les webmasters et les entreprises tant cet outil est incontournable. Focus sur tout ce qu’il faut savoir.
Google Analytics RGPD : Le transfert des données vers les Etats-Unis problématique
Google Analytics et RGPD : Un sujet de longue date
Pour rappel, Google Analytics est un service proposé par Google permettant d’analyser les statistiques d’un site internet (nombre de visites, pages visitées, temps passé sur le site, etc…). Il s’agit d’un outil très puissant permettant d’avoir une vue détaillée de la vie de ses sites internet.
En général, que vous soyez une entreprise ou un particulier, il y a de grandes chances pour que votre site internet soit équipé de cet outil tant il s’avère efficace pour mesurer ses statistiques.
Or, en 2018, les entreprises ont dû mettre en place le RGPD (Règlement Général sur la Protection des Données). Ce règlement constitue le nouveau cadre juridique ayant pour but de protéger les données personnelles et il a été renforcé en 2021 avec de nouvelles obligations pour les sites internet notamment. Google Analytics était déjà concerné par les obligations RGPD apparues en 2021.
Nous vous invitons à lire notre article mise en conformité RGPD cookies site internet au 1er Avril 2021 pour en savoir plus.
En 2022, Google Analytics a été jugé comme non respectueux du RGPD par la CNIL
Or, en 2022, la CNIL (Commission Nationale de l’Informatique et des Libertés), qui est en charge de faire respecter le RGPD en France, a lancé plusieurs « bombes » concernant l’utilisation de Google Analytics en France :
- Un gestionnaire de site web a été mis en demeure pour l’utilisation de Google Analytics.
- Une annonce indiquant que Google Analytics n’était pas compatible RGPD même par le biais de certains paramétrages internes à l’outil. Il fallait utiliser une solution de proxyfication des données (très complexe et coûteuse à mettre en place) pour le rendre compatible.
Concrètement, Google Analytics n’était pas considéré comme compatible avec le RGPD. En cause, le transfert des données personnelles des internautes vers les Etats-Unis jugé comme « illégal » par la CNIL. N’oubliez pas que le RGPD, et donc la CNIL, a pour but de protéger les données personnelles notamment sur le web. Dans le cas précis de Google Analytics, les données personnelles des internautes ne semblaient pas suffisamment protégées de l’autre côté de l’Atlantique.
Tout l’historique des informations publiées par la CNIL est à retrouver sur notre page RGPD 2022.
Google Analytics non conforme au RGPD : Des conséquences très importantes pour tout le monde
Les différentes communications de la CNIL en 2022, rendant Google Analytics non conforme au RGPD, et donc illégal, ont eu des conséquences très importantes pour tout le monde.
Premièrement, les entreprises disposant d’un site internet se sont retrouvées « hors la loi ». En général, tous les sites internet étaient équipés de Google Analytics. Il en était d’ailleurs de même pour les particuliers et associations disposant de sites internet.
Deuxièmement, les solutions pour se mettre en conformité s’avéraient toutes coûteuses et complexes :
- Mettre en place la proxyfication de Google Analytics.
- Se débarrasser totalement de Google Analytics.
- Trouver un autre module d’analyse des visites d’un site internet.
Toutes ces solutions ne permettaient pas de bénéficier de la simplicité de Google Analytics ainsi que de sa gratuité. Un vrai problème !
Or comme nous l’indiquions dans notre article sur le RGPD 2023, ‘il est impossible que Google ne corrige pas le tir dans les mois qui arrivent’. Google était également perdant face à cette situation car son module était retiré de nombreux sites internet. Ainsi Google perdait de précieuses données ! Et les données, c’est ce qui permet à Google de gagner de l’argent.
De plus, nous savions, en 2023, qu’un accord de principe entre les Etats-Unis et l’Union Européenne avait été trouvé pour un nouveau cadre pour les flux de données transatlantiques. Cet accord est aujourd’hui officiel et la situation de Google Analytics semble régularisée en Europe.
À lire : Loi d’adaptation au droit de l’Union européenne, les employeurs aussi doivent s’adapter.
Google Analytics désormais conforme au RGPD
Google Analytics RGPD : Un mois de Juillet 2023 décisif dans la conformité RGPD de Google Analytics
Google Analytics semble désormais conforme au RGPD. Une grande nouvelle pour toutes les personnes et organisations qui disposent d’un site internet.
En effet, le mois de Juillet 2023 a été décisif pour la populaire application de statistiques web de Google avec deux événements importants.
- Depuis le 1er Juillet 2023, Google Universal Analytics (la version historique de Google Analytics) a totalement disparu et ce, au profit de Google Analytics 4. Cette nouvelle version de Google Analytics est mieux respectueuse des données personnelles (Google avait communiqué dès Mars 2022 concernant l’arrivée obligatoire au 1er Juillet 2023 de cette nouvelle version).
- Le 10 Juillet 2023, la CNIL a publié l’information suivante sur son site internet : Transferts de données vers les États-Unis, la Commission européenne adopte une nouvelle décision d’adéquation. Concrètement, ‘la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l’UE vers certains organismes étatsuniens peuvent désormais s’effectuer librement, sans encadrement spécifique’.
Ces deux événements sont très importants et semblent rendre Google Analytics conforme au RGPD et donc légal. La nouvelle version de Google Analytics était un premier pas vers la conformité mais l’accord de la Commission européenne pour le transfert des données vers les Etats-Unis rend le fonctionnement de Google Analytics conforme au RGPD.
C’était le transfert des données vers les Etats-Unis qui posait un réel problème de conformité. Ce transfert étant désormais accepté par la Commission européenne, l’usage Google Analytics RGPD semble donc désormais autorisé.
À découvrir : Le métier de Data Analyst.
Google Analytics et RGPD : Ce qu’il est primordial de savoir désormais
Dans cet article, nous parlons, pour l’instant, systématiquement au conditionnel. La raison est simple : Si la CNIL a communiqué officiellement sur le sujet ‘Transferts de données vers les États-Unis, la Commission européenne adopte une nouvelle décision d’adéquation’, celle-ci n’a pas communiqué directement concernant le sujet Google Analytics RGPD.
Nous attendons donc une communication ciblée sur ce sujet spécifique bien que de nombreux éléments tendent à montrer que, désormais, Google Analytics est conforme au RGPD :
- Premièrement : Google fait partie de la liste des organisations qui assurent un niveau de protection adéquat des données personnelles transférées de l’UE vers les États-Unis. La liste est à retrouver ici.
- Deuxièmement : Toutes les communications de la CNIL de 2022 qui indiquaient que Google Analytics n’était pas conforme au RGPD ont été supprimées. L’ensemble de ces communications redirigent désormais vers l’actualité ‘Transferts de données vers les États-Unis, la Commission européenne adopte une nouvelle décision d’adéquation’. La CNIL semble donc nous montrer que ces communications ne sont plus d’actualité. Désormais, le cadre légal est celui indiquant que le transfert des données de Google Analytics vers les Etats-Unis est en adéquation avec les exigences de protection des données en Europe.
Ces deux éléments semblent montrer, de manière concrète, que Google est désormais autorisé à effectuer transfert des données personnelles vers les Etats-Unis. Ainsi, Google Analytics RGPD, la conformité est désormais assurée et vous pouvez, à nouveau, utiliser ce service sur votre site internet.
Par contre attention, l’utilisation de Google Analytics sur votre site internet est toujours soumise à l’obligation d’acceptation des Cookies ! En effet, si l’utilisation de Google Analytics semble désormais OK d’un point de vue RGPD, il faudra tout de même que les internautes valident (ou non) l’utilisation de leurs données via Google Analytics. Cette obligation reste en place et constitue l’un des fondements du RGPD. Si votre site internet ne dispose toujours pas d’une ‘demande d’acceptation des cookies’, nous vous invitons à lire notre article mise en conformité RGPD cookies de votre site internet pour la mettre en place le plus rapidement possible.
Conclusion : Google Analytics est conforme au RGPD désormais
En conclusion, oui, on peut affirmer que Google Analytics est conforme au RGPD et peut être utilisé sur votre site internet depuis ce mois de Juillet 2023. Toutefois, nous attendrons les communications officielles de la CNIL à ce sujet pour l’affirmer clairement et enlever toute forme de conditionnel sur cet article. Cet article sera mis à jour dès que de nouvelles informations seront publiées par la CNIL.
De plus, la conformité RGPD de Google Analytics est toujours soumise à la mise en place d’un Cookie Wall (mur de cookies). Il est obligatoire de disposer de l’accord des internautes pour le traitement de leurs données et cela passe obligatoirement par la mise en place d’un bandeau d’acceptation des cookies. Google Analytics ne fait pas exception à la règle !
Google Analytics peut donc être utilisé sur votre site internet mais l’accord des visiteurs du site reste obligatoire pour exploiter leurs données.
À lire également : Les avantages d’un site internet pour les PME et TPE.