Existe-t-il des alternatives à Google Analytics ?
Depuis plusieurs années, l’utilisation de Google Analytics (ci-après GA) est restreinte par les autorités nationales de protection des données dans un nombre croissant de pays européens.
L’Autriche, la France et plus récemment l’Italie ont fait parler d’elles. Il n’est pas encore certain que Google Analytics soit également interdit en Belgique, mais il est très probable que ce soit le cas.
Le 1er juillet 2023, Google lui-même mettra fin à Universal Analytics et Analytics 4 reprendra définitivement le flambeau. Analytics 4 est une tentative de Google de se conformer au GDPR. Toutefois, la question est de savoir si Analytics 4 sera efficace à cet égard.
Mais pourquoi GA est-il interdit ?
La première partie de ce blog aborde les questions relatives à l’AG et au GDPR. Dans la deuxième partie de ce blog, nous vous montrerons comment vous préparer à une éventuelle interdiction de l’AG en Belgique. Nous avons trouvé pour vous des services d’analyse abordables et conformes au GDPR qui constituent de bonnes alternatives à GA.
Quel est le problème avec Google Analytics ?
Depuis des mois, nous voyons apparaître des articles affirmant que l ‘AG va à l’encontre des dispositions du GDPR, mais pourquoi est-ce le cas ?
Il est important de noter que lors de l’utilisation de GA, des données personnelles sont envoyées aux États-Unis. Les données envoyées sont les suivantes : adresses IP, données du navigateur et données d’identification de l’utilisateur : les adresses IP, les données du navigateur et les données d’identification de l’utilisateur.
Jusqu’à il y a quelques années, il existait un traité américano-européen, le ” Privacy Shield”, qui réglementait les transferts de données vers les États-Unis.
Ce traité a été déclaré invalide dans le célèbre arrêt SchremsII du 16 juillet 2020. Pour faire face à la suppression du bouclier de protection de la vie privée, Google a commencé à travailler avec des clauses contractuelles types (CCN). Il s’agit de clauses qui peuvent être utilisées sur une base volontaire pour démontrer le respect des exigences en matière de protection des données.
Commission de la protection de la vie privée (“Datenschutzbehörde“ou “DSB”)
La Commission autrichienne de la protection de la vie privée (“Datenschutzbehörde” ou “DSB”) est la première autorité nationale de protection des données à se prononcer contre les pratiques de Google Analytics. Cette décision fait suite aux 101 plaintes déposées par l’organisation Noyb (NOT Your Business) de l’Autrichien Max Schrems, contre le site web
www.netdoktor.at
DBS : les CCS de Google ne suffisent pas à assurer la conformité au GDPR
Cela s’explique par les raisons suivantes :
- Google étant un “fournisseur de services de communication électronique”, il est soumis à la législation américaine 50 US Code § 1881(b) (4). En vertu de ce règlement, l’agence de renseignement américaine peut obliger Google à lui donner accès à ses données.
- Les mesures prises en plus des CSC ne sont pas suffisantes pour protéger les données à caractère personnel, car aucune possibilité n’est prévue pour exclure la surveillance et l’accès aux données à caractère personnel par les agences de renseignement américaines.
En outre,le DBS a égalementnoté qu’en raison d’une erreur technique, GA avait l’adresse IP
l’adresse IP
des visiteurs n’était pas anonymisée.
Même sans lesl’erreur technique. l’ erreur technique, le DBS a estimé que GA ne protégeait pas suffisamment les données à caractère personnel. Le DBS faits marquantse que dans les
mesures de protection de la vie privée
que Google comme l’a fait la Commission européenne dans le cadre de son programme de travail. anonymiser de l’adresse IPde l’adresseet en parlent encore traitement des
données personnelles
.
En effet, il est toujours possible que les données restantes soient combinées avec un profil unique. Cette combinaison permet de retracer facilement les données jusqu’à une personne naturellement identifiable .
C’est certainement le cas si l’on considère l’océan de
données
que Google possède lorsque l’utilisateur, en naviguant sur
internet
est connecté avec un compte Google.
En résumé, nous pouvons identifier les problèmes suivants avec l’AG :
- Les données traitées par Google doivent être considérées comme des données personnelles, même lorsque des mesures de confidentialité telles que l’anonymisation de l’IP sont en place.
- Le traitement de ces données aux États-Unis, en vertu de la législation américaine, est indubitablement en violation du GDPR, car les agences de renseignement américaines peuvent accéder à ces données sans avoir besoin du consentement préalable de l’utilisateur.
Cette décision se résume au fait que l’utilisation de l’AG en en Europe illégale devrait être illégale car elle va à l’encontre des dispositions du GDPR.
Analytics 4 résoudra-t-il les problèmes de Google ?
Universal Analytics a été lancé en 2012 et est maintenant pratiquement l’outil d’analyse web standard de l’internet. Par conséquent, la plupart des sites web utilisent GA.
Cela changera le 1er juillet 2023: Google a annoncé le retrait progressif d’Universal Analytics. Les entreprises qui souhaitent encore utiliser Google Analytics devront donc bientôt passer à Google Analytics 4 (ci-après : GA4).
La nouvelle version de l’outil de Google a été développée en 2020 et diffère d’Universal Analytics sur des points notables.
Qu’est-ce que le GA4 (alternative au GA) ?
GA 4 s’appuie sur descookies de première partie définis par Google lui-même. Il utilise également un modèle basé sur les événements : il suit des actions spécifiques de l’utilisateur, comme le fait de cliquer sur un lien ou de consulter une page, et les associe à un seul utilisateur.
Universal Analytics s’appuie plutôt sur des cookies tiers et utilise un modèle basé sur la session qui suit l’activité de l’utilisateur au cours d’une seule visite sur un site web.
Google affirme que Google Analytics 4 (alternative à GA) sera plus respectueux de la vie privée que son prédécesseur !
Google espère donc que ce nouvel outil résoudra ses problèmes juridiques en matière de transfert de données.
Malheureusement, ce n’est pas le cas. Google a tenté de présenter GA4 comme une étape vers un modèle d’analyse web sans cookie et respectueux de la vie privée. C’est un mensonge, leur nouvel outil d’analyse est tout sauf exempt de cookies.
GA4 renonce aux cookies de tiers et utilise des cookies de première partie appelés ” Client ID “. Comme les cookies de tiers utilisés par Universal Analytics, les cookies de GA4 contiennent un identifiant unique appelé ID client.
C’est pourquoi il s’agit de données à caractère personnel au sens du GDPR. L’AG 4 transfère donc toujours des données à caractère personnel aux États-Unis.
User-ID également utilisé par GA4 ? (alternative à l’AG)
GA4 utiliseégalement un identifiantappelé User-ID. Les identifiants ne sont pas des cookies, mais un autre outil utilisé par GA pour suivre les utilisateurs sur tous les appareils . Il s’agit de données personnelles car elles permettent de distinguer les utilisateurs individuels dans le trafic du site web.
Il en va de même pour l’identifiant unique, un autre paramètre traité par GA pour générer un identifiant d’utilisateur .
Le transfert de données personnelles vers les États-Unis pose également problème . Google Analytics 4 ne résout pas ce problème. En fait, la configuration de Google Analytics 4 transfère toujours des données personnelles vers les États-Unis.
Conclusion
Google ne propose pas de solution adaptée au GDPR avec le GA4. Il est donc conseillé de proposer une alternative à GA pour votre entreprise. Dans la deuxième partie de ce blog , nous présenterons quelques alternatives abordables et conformes au GDPR.n pour que l’AG discute