Alternative à Google Analytics
Peut-on réconcilier "mesure d'audience" et respect de la vie privée ?
On parle de quoi ?
On parle de l’action en justice menée par l’autorité française de protection des données, la CNIL a en effet porté plainte en février 2022 contre Google sur le transfert des données de navigation des citoyens français aux USA. Cette plainte se base sur un arrêt de la Cour de justice de l’UE. Une autre action menée en 2020 par l’autorité autrichienne de protection des données (Datenschutzbehörde ou DSB) a ciblé une centaine de sites autrichiens, grands et petits.
Google Analytics est né du rachat en 2005 de la société Urchin Software Corporation. Cette dernière proposait un service payant de mesure d’audience. Google intègre le tout dans son écosystème et propose la gratuité du service. La stratégie de Google étant d’utiliser les données récoltées pour vendre de la publicité ciblée.
Voici quelques articles sur ces sujets :
- https://fr.wikipedia.org/wiki/Google_Analytics
- https://noyb.eu/fr/ord-autrichien-les-transferts-de-donnees-entre-lue-et-les-etats-unis-vers-google-analytics-sont
- https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
- https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite
- https://fr.matomo.org/blog/2022/01/google-analytics-gdpr-violation/
La Suisse n’est pas concernée !
Faux. Cela concerne toute institution ou entreprise qui collecte des données de citoyens européens et/ou de résidents européens. La Suisse n’est pas exempte de respecter le RGPD. Ainsi les sites utilisant les services de Google Analytics, même avec une bannière de cookies, peuvent faire l’objet d’une plainte par un citoyen européen. Et soyons honnêtes, plétores de sites suisses ne prennent pas la peine d’afficher une bannière, on découvre subitement plusieurs cookies sur son ordinateur ; je vous invite à vérifier avec votre commune. L’usage des cookies ne doit pas être obligatoire, si les visiteurs ont donné à un moment leur accord pour que le site dépose un cookie sur leur ordinateur, ces mêmes visiteurs doivent pouvoir renoncer à cet accord. De fait l’accord n’est pas tacite, il doit être explicitement consenti.
Ces fameuses bannières de cookies ne sont, dans la grande majorité pas légales. Le choix doit être équitable, ors le bouton pour refuser est soit dans une autre fenêtre, soit dans un format différent que le bouton accepter, il est ainsi plus petit, dans une couleur plus discrète et pas sélectionné par défaut. Le visiteur fait tout pour que ce moment désagréable passe vite, et dans la foulée accepte tout ce qu’on lui propose. Enfin qui va lire tous ces avertissements ?
Que faire alors ?
Je vois ici trois solutions :
- supprimer la mesure d’audience, en effet quelle est la réelle utilité de mesurer la fréquentation d’un site sur lequel on ne vend rien ?
- conserver GA, il faudra dans ce cas évaluer le risque de plainte (impact financier, image publique, etc…), il faudra aussi suivre les échanges entre l’UE et les USA, les entreprises américaines devront sans doute stocker les données sur sol européen ou bien encore trouver une astuce technique pour permettre aux citoyens de faire respecter leurs droits. Dans les deux cas, cela va prendre du temps.
- utiliser une solution de mesure d’audience respectueuse du RGPD : ne stocker que les données anonymisées, supprimer les données au bout de 21 mois maximum, héberger les données dans un pays de confiance, ne pas transférer les données à un tiers et éviter d’utiliser les cookies, après tout pourquoi pas ? On trouvera alors un avantage supplémentaire, celui de se passer de la bannière des cookies une bonne fois pour toute.