Contexte
Comme nous vous l’expliquions dans un précédent article, le paramétrage de Google Analytics a été épinglé par la CNIL en France. Cette dernière juge en effet que les transferts de données récupérées sur les sites européens vers les États-Unis réalisés par Google Analytics sont illégaux.
Pour rappel, les articles 44 et suivants du Règlement général sur la protection des données (RGPD) encadrent le transfert vers un pays tiers ou une organisation internationale de données à caractère personnel destinées à faire l’objet d’un traitement après ce transfert : « le pays tiers, le territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat », article 45, paragraphe 1.
Or, le Cloud Act impose légalement de divulguer les données aux services de renseignement américains sur demande. Par conséquent, le fait que Google transfère des données aux États-Unis et soit obligé de les remettre sur demande signifie que l’Union européenne ne peut plus garantir la vie privée de ses citoyens.
Des décisions similaires ont été prises ailleurs en Europe. APD, l’équivalent belge de la CNIL, a remis en cause le TCF (Transparency & Consent Framework), un standard de transmission du consentement des utilisateurs entre des partenaires publicitaires, géré par l’IAB Europe. L’Autriche et l’Italie ont quant à eux totalement interdit Google Analytics, en janvier pour le premier, en juin pour le second.
Alors dans ce contexte, la question qui se pose à vous annonceurs est la suivante : devez-vous supprimer Google Analytics ? Nous avons posé la question à Élodie Nantes, Client Director SEA chez Keyade, et à Christelle Cubizolles, Directrice SEO chez Keyade. Elles nous ont expliqué les obligations en la matière et les impacts pour votre SEA et votre SEO, et listé les alternatives existantes.
L’utilisation de Google Analytics est-elle illégale ?
Élodie Nantes : Pour rappel, la CNIL n’est pas un législateur : elle interprète la loi (chaque CNIL de chaque pays de l’UE peut ainsi avoir sa propre interprétation sur le sujet). Il ne s’agit pas ici de trancher pour la légalité de Google Analytics : la CNIL a épinglé un cas de paramétrage qu’elle a jugé non conforme au cadre règlementaire en vigueur. Par ailleurs, il faut noter que Google Analytics n’est pas le seul outil concerné : ce sujet vise toutes les solutions SaaS américaines traitant des données personnelles (les cookies par exemple) rattachées aux citoyens européens. Globalement, cela pourrait cibler une grande partie des outils CRM, DMP, Automation…
Qui est concerné ?
ÉN : Tous les utilisateurs de Google Analytics, quelle que soit la taille du compte.
Faut-il supprimer ses comptes Google Analytics ?
Christelle Cubizolles : En France, l’outil Google Analytics n’est pas interdit. Ce qui pose problème, c’est son utilisation et son paramétrage.
ÉN : Or, la CNIL a déclaré que la modification du paramétrage de l’outil telle que proposée par GA4, notamment, est insuffisante. Selon elle, il est toujours impossible de paramétrer Google Analytics de façon à ne garantir aucun transfert de données personnelles hors de l’Union européenne. La pseudonymisation des adresses IP (c’est-à-dire leur remplacement par des identifiants uniques) serait insuffisante, car rien n’assure que cette dernière est effectuée avant leur transfert aux États-Unis. En outre, leur chiffrement est inutile si Google dispose de la clé de déchiffrement.
CC : Aujourd’hui, nos clients continuent très majoritairement d’utiliser Google Analytics et se préparent à paramétrer la nouvelle version GA4 cet été. Ils attendent de voir comment va évoluer la jurisprudence en la matière ou la législation en général. Dans tous les cas, comme le montre le récent cas, si vous êtes un jour épinglés par la CNIL, vous disposerez d’un délai de 30 jours pour vous conformer, avant d’éventuelles sanctions. Il n’y a donc pas d’urgence.
Quels seraient les impacts d’une coupure de Google Analytics sur le suivi ou l’optimisation en SEA et SEO ?
ÉN : L’impact est à comprendre selon le niveau d’utilisation de l’outil. En SEA, Google Analytics est principalement utilisé pour répondre à deux grands besoins : créer des bassins d’audience qui sont intégrés aux campagnes (nouveaux visiteurs, abandons de panier, parcours d’utilisateurs…) et pour certains annonceurs, le pilotage et reporting. Dans le cas des audiences, si l’on coupait Analytics, on pourrait toujours trouver une solution de contournement en recréant des audiences dans Google Ads par exemple. L’arrêt sera plus impactant pour les annonceurs dont Google Analytics est l’outil site-centric qui fait foi dans tous nos reportings SEA et parfois même le pilotage. Là encore, bien entendu, des solutions de contournements sont possibles et nous ferons évoluer la source des reportings et le pilotage.
CC : Pour le SEO, notre premier outil d’analyse est Google Search Console qui suit le trafic organique généré par les clics sur les liens présents dans la page de recherche Google. Cette donnée est fiable et ne pose pas de problème pour la CNIL. En revanche, sans Analytics, le suivi des conversions et du revenu s’arrêterait. Dans tous les cas, les nouvelles bannières de consentement imposées par le RGPD ont déjà généré une baisse de 20 % à 30 % du trafic suivi, selon une étude de Meet Your Data. La qualité des données et du suivi a donc déjà diminué et se présente comme moins pertinente pour les annonceurs. Ce que nous suivons avant tout, c’est le nombre de clics, de pages indexées, le positionnement dans Google Search Console et le chiffre d’affaires global généré. Le levier SEO reste pour beaucoup de sites (et surtout pour les marques à forte notoriété) un des premiers apporteurs de revenu, mais le suivi exact des conversions est moins important en SEO que pour les autres leviers paid.
Si l’on voulait se passer d’Analytics, existe-t-il des alternatives ?
CC : Oui, il existe Fathom Analytics, Simple Analytics, AT Internet, Matomo (anciennement Piwik)… Ce dernier, gratuit et installable directement chez votre hébergeur, est officiellement conseillé par la CNIL.