Condamnation de Google Analytics : quelles conséquences pour les développeurs ?

5 min
90
0
0
Publié le

La récente alerte de la CNIL sur Google Analytics a semé un véritable vent de panique chez les référenceurs et agences de stratégie digitale. L’outil de Google est quasi incontournable dans les stratégies de marketing et de référencement, car il permet de collecter des données sur les visiteurs afin d’évaluer la fréquentation et le comportement des internautes sur les sites web.

Le problème c’est que ces données personnelles sont transférées vers les serveurs de Google aux États-Unis ce qui enfreint, selon la CNIL, le RGPD.
Aujourd’hui, ce sont ainsi près de 101 réclamations qui ont été émises contre Google Analytics. Des plaintes visent également les entreprises utilisant l’outil de web analyse avec, notamment, les grands groupes comme Sephora, Auchan et Décathlon. De quoi fortement menacer l’avenir de Google Analytics et son installation dans les sites et applications. Ces plaintes pourraient donc aussi avoir des répercussions sur le travail d’autres professionnels de l’IT avec en premier lieu les développeurs. Découvrez dans cet article les conséquences de la condamnation de Google Analytics.

Un risque de condamnation pour les gestionnaires de site ?

Concrètement, la CNIL ne condamne pas l’outil Google Analytics en lui-même, mais son usage en France. En effet, l’outil de web analyse étant hébergé par Google, aux États-Unis, les données des internautes français y sont transférées. Ces transferts en dehors de l’UE constituent d’après la CNIL, un manquement important au RGPD. La commission a déclaré que « l’utilisation de Google Analytics par un site européen contrevient aux articles 44 et suivants du Règlement général sur la Protection des Données ». 

La CNIL reconnaît les « efforts de Google pour encadrer ce transfert », mais considère que ceux-ci sont insuffisants et ne permettent pas d’exclure « la possibilité d’accès des services de renseignements américains à ces données ». Cependant, elle n’a pas mis en demeure directement la firme américaine, mais des gestionnaires de sites web français. 

Dans son dernier communiqué, la commission demande aux gestionnaires de site de mettre en conformité leurs traitements avec le RGPD sous un délai de 1 mois.

Cette mise en conformité peut impliquer de supprimer les fonctionnalités de Google Analytics, mais aussi de tous les autres outils entraînant des transferts de données personnelles hors UE. Les gestionnaires de site et les développeurs sont donc en première ligne pour modifier et mettre rapidement en conformité leurs sites web.



Le développement de solutions alternatives ?

Dans les prochaines semaines, les développeurs, webmaster et autres administrateurs de sites vont donc devoir réfléchir et installer des outils d’analyses alternatifs. Cependant, il est clair que depuis près de 15 ans et avec plus de 80 % des sites qui l’utilisent, Google Analytics est presque en situation de monopole et les concurrents peinent à se développer.

Pour respecter le RGPD, ces concurrents doivent conserver les données en Europe et idéalement en Grande. Le choix est donc restreint à quelques alternatives comme :

  • Matomo (anciennement Piwik), un logiciel libre et open source de mesure de statistiques web ;

  • XiTi de AT Internet, un service de mesure d’audience et de statistiques de fréquentations des sites ;

  • Piwik PRO, non français, mais qui permet aux développeurs et gestionnaires de sites de stocker les données d’analyse sur leurs propres serveurs.

  • GoatCounter qui est également auto hébergé.

Bien sûr, si l’usage de Google Analytics devient condamnable en Europe, on peut s’attendre à ce que de nombreuses missions et emplois soient créés pour concevoir de nouveaux outils plus « éthique », RGPD-friendly et Européens.

Condamnation de Google Analytics : d’autres mesures correctrices à venir ?

La condamnation de Google Analytics est aussi liée au non-respect de l’arrêt Schrems II du 16 juillet 2020, pris par la Cour de justice de l’Union européenne (CJUE) et l’ONG autrichienne Noyb (None of Your Business).

Cet arrêt majeur invalide le Privacy Shield, c’est-à-dire le régime de transferts de données entre l’Union européenne et les États-Unis. Concrètement la CJUE avait conclu qu’aux États-Unis les atteintes portées aux données personnelles étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux. La Cour européenne avait notamment jugé que les voies de recours des personnes sur leurs données étaient trop faibles et que le risque de collecte des données par les services de renseignement n’était pas proportionné.

Cette décision n’interdit pas le transfert de données, mais reporte une nouvelle fois la responsabilité sur les gestionnaires de site et autres professionnels du développement web. Selon la cour, c’est à eux « d’évaluer si, pour chaque transfert, les clauses contractuelles types envisagées permettent de garantir un niveau de protection équivalent à celui assuré en Union européenne. » 

Cet arrêt dépasse donc largement le cadre de Google Analytics, mais peut concerner tous les outils, services et applicatifs susceptibles de transférer des données aux États-Unis. Les services cloud (SaaS, PaaS, etc.) de fournisseurs US sont particulièrement menacés.

Là aussi les développeurs de sites et applications vont donc avoir un fort rôle de conseil et parfois concevoir des solutions pour protéger les données.

Le European Data Protection Board (ou Comité européen de la protection des données) a également publié fin 2020 des mesures supplémentaires « qui complètent les mécanismes de transferts de données en conformité avec le niveau européen de protection des données personnelles ».

Ces mesures comprennent notamment :

  • l’encryptage et le chiffrage des données ;

  • l’anonymisation ou la pseudonymisation des données ;

  • la ségrégation des données entre les différents fournisseurs de cloud afin qu’aucun d’eux ne puisse stocker l’ensemble des informations d’identifications d’un individu.

Ces mesures impliquent une certaine complexité technique et leur mise en place devrait être confiée aux développeurs et programmeurs informatiques.


Même s’ils n’utilisent pas directement l’ours d’analyse web, les développeurs vont donc être impactés par la condamnation de Google Analytics. Dans les prochains mois, de nombreuses entreprises vont devoir se mettre en conformité et faire appel aux professionnels de l’IT pour concevoir ou installer des solutions alternatives et sécuriser la gestion et l’analyse de données.

Que pensez-vous de cette mise en demeure de la CNIL ? A-t-elle eu des répercussions dans vos missions et emplois ? N’hésitez pas à nous partager vos retours d’expérience sur le forum IT.



Sources et liens utiles :

Les lignes directrices, recommandations, bonnes pratiques RGPD du Comité européen de la protection des données :

https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_fr

La publication de la CNIL sur la mise en demeure des gestionnaires de sites web utilisant Google Analytics :

https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

La présentation de l’arrêt Schrems II de la CJUE :

https://www.cnil.fr/fr/presentation-de-larret-de-la-cjue




Boostez votre carrière

Les meilleures offres d’emploi sont chez Free-Work

Notre CVthèque est la première source de recherche de talents pour + 1 000 entreprises. Déposez votre CV et postulez en un clic !

Continuez votre lecture autour des sujets :
# Actualités
# RGPD
# Data
# Développeur

Commentaire

Dans la même catégorie