Google Analytics est un outil d'analyse de données incontournable. Mais avec la mise en place du Règlement Général sur la Protection des Données, ou RGPD, les entreprises ont dû faire face à de nouvelles réglementations en matière de protection des données personnelles. En France, la Commission Nationale de l’Informatique et des Libertés, ou CNIL, a mis en demeure plusieurs organismes pour non-conformité de ce règlement en février 2022. Alors avec la suppression prochaine de Google Universal Analytics, ou UA, et la démocratisation de Google Analytics 4, ou GA4, la question qui se pose est “GA4 est-il conforme au RGPD ?”.
Google Analytics est une plateforme d'analyse de données proposée par Google. Elle permet aux propriétaires de sites web et d'applications mobiles de collecter, de mesurer et d'analyser des données relatives au comportement des utilisateurs. Cette plateforme est utilisée pour comprendre comment les utilisateurs interagissent avec un site web ou une application, pour identifier les pages et les fonctionnalités les plus populaires, et pour suivre les conversions et les objectifs.
Google Analytics est disponible en plusieurs versions, dont la plus connue est Google Universal Analytics. Cependant, en 2020, Google a introduit une nouvelle version appelée Google Analytics 4.
Google a d’ailleurs informé les utilisateurs qu'il mettra fin au support de UA à partir du 1er juillet 2023. Ainsi, les utilisateurs qui souhaitent continuer à bénéficier des fonctionnalités de mesure et d'analyse de données devront migrer vers GA4. Il est donc important de planifier la migration dès que possible pour éviter tout désagrément à l'approche de la date limite.
Le Règlement Général sur la Protection des Données, ou RGPD, est une réglementation de l'Union Européenne qui a été mise en place en 2018 pour protéger les données personnelles des citoyens de l'UE. Le RGPD impose aux entreprises de l'UE et à celles qui traitent les données personnelles des citoyens de l'UE, de prendre des mesures pour en garantir la sécurité et la confidentialité. Les entreprises qui ne respectent pas le RGPD peuvent être passibles de lourdes amendes.
Entre 2018 et 2022, les entreprises françaises se sont progressivement mises en conformité avec le RGPD. Mais, une partie de ce règlement a été grandement délaissée. Et c’est alors qu’en février 2022, la CNIL fait un rappel à l’ordre. Elle engage plusieurs procédures de mise en demeure à l’encontre de gestionnaires de sites utilisant Google Analytics.
La CNIL juge alors que les transferts de données vers les États-Unis manquent d'encadrement à l’heure actuelle, suite à l’invalidation du Privacy Shield. Ainsi, les données ne peuvent être transférées que si des garanties appropriées sont mises en place. Cependant, la CNIL a constaté que les mesures prises par Google pour encadrer les transferts de données via Google Analytics ne sont pas suffisantes pour garantir l'absence d'accès des services de renseignements américains à ces données. En bref, ces mises en demeure signent l’interdiction pour les entreprises françaises d’utiliser Google Analytics pour l’analyse de leurs données. En cas de violation de l’article 44 du RGPD, les sanctions seront importantes.
GA4 est un réel changement de paradigme puisque son modèle de fonctionnement a complètement été revu. Voici les 5 nouveautés de Google Analytics 4 selon Google :
Mais alors, est-ce que Google Analytics 4 est conforme au RGPD ? Cette question est à la fois simple et complexe. Google a effectivement pris en compte une partie de la réglementation en matière de protection des données personnelles. Contrairement à sa version précédente, GA4 ne repose pas sur les cookies et utilise un modèle de données basé sur les événements. De plus, il est possible de ne pas stocker les adresses IP, ce qui renforce sa conformité aux exigences légales. Toutefois, cela ne suffit pas pour garantir une conformité totale au RGPD et éviter des sanctions de la CNIL.
Suite à l’invalidation du Privacy Shield, la CNIL a jugé que les transferts de données vers les États-Unis manquaient d’encadrement. Même si la CNIL ne s’est pas officiellement prononcée sur l’interdiction de GA4, on peut en déduire que c’est également valable pour cette nouvelle version, puisque les données transitent toujours vers les États-Unis.
On pourrait penser que la solution à ce problème de conformité serait la fonctionnalité de GA4 qui permet de supprimer ou d'anonymiser les adresses IP dès leur réception. Cependant, la CNIL n’autorise tout simplement pas que ces adresses soient transférées vers les États-Unis.
Tant qu’une seconde version du Privacy Shield ne sera pas proposée et validée, des entreprises qui utilisent GA4 risquent de continuer à se faire sanctionner.
La seule solution viable aujourd’hui serait d’avoir recours à un serveur proxy pour rompre tout contact entre le terminal de l’utilisateur et le serveur situé aux USA. Les données ne sortiraient ainsi plus de la zone européenne. Et si ça paraît trop beau pour être vrai, vous avez raison. Cette solution coûte entre 1500€ et 4000€ par an, rien que pour les frais de serveur. Et vous perdrez également certaines fonctionnalités utiles pour analyser vos résultats avec cette solution.
Même si la situation peut évoluer rapidement, à date, GA4 n’est donc pas une solution conforme au RGPD selon la CNIL.
Évidemment, il n’est pas possible d’arrêter de suivre et analyser la donnée de son site ou son application. Quelles sont alors les solutions proposées par la CNIL pour résoudre le problème ?
Matomo : C’est la solution vers laquelle se tournent la majorité des entreprises. Elle n’est néanmoins pas gratuite. Comptez 19€ par mois pour héberger vos données sur leur cloud. Et si vous avez l’infrastructure nécessaire chez vous pour héberger les données, dans ce cas, seules les options sont payantes. Prenez également en compte qu’il faudra former vos équipes sur ce nouvel outil car l’interface et le vocabulaire diffèrent sensiblement. Et il existe encore peu de ressources en ligne pour monter en compétences.
AT Internet : C’est pareillement une solution de plus en plus utilisée. Le prix est supérieur à Matomo puisqu’il faut compter pas moins de 355€ par mois. Mais cet outil propose une analyse très puissante des données et des fonctionnalités complètes. Il faudra également prévoir un temps de formation conséquent car la maîtrise de cet outil est complexe.
Il existe de nombreux autres outils approuvés par la CNIL, tels que :
Vous pouvez consulter l’intégralité des solutions ici.
Si vous utilisez Google Analytics avec HubSpot, le passage de UA à GA4 aura peu d’impact sur vous. Il vous suffira de setup la propriété GA4 depuis les paramètres de Google Analytics. Une fois la propriété créée :
Pour un tutoriel plus détaillé, voici la page dédiée pour intégrer Google Analytics à HubSpot.
Si la migration de UA à GA4 est simple sur HubSpot, il n’en reste pas moins que cet outil n’est pour l’instant pas en conformité RGPD. Toutefois, il est fort probable que Google réagisse dans les prochains mois, en proposant une mise à jour qui permettrait de ne plus faire transiter les données aux USA.
Et pour rappel, il n’y a pas que Google Analytics à prendre en compte concernant le RGPD avec HubSpot. En effet, il est par exemple recommandé d’utiliser Google Tag Manager et de le relier aux cookies HubSpot pour déclencher les bons tags en fonction des préférences de l’utilisateur. Je vous invite à vous renseigner sur le sujet car par défaut HubSpot n’est pas non plus conforme au RGPD. Mais il est possible de paramétrer l’outil afin de rentrer en conformité.
Ce qu’il faut donc retenir, c’est qu’à l’heure actuelle, Google Universal Analytics et Google Analytics 4 sont interdits en France à cause du transfert de données vers les États-Unis. Mais la situation pourrait évoluer rapidement car une deuxième version du Privacy Shield devrait être proposée prochainement. Et Google travaille sur une mise à jour qui pourrait permettre de ne pas envoyer les données aux USA… Affaire à suivre.