Google Analytics en Europe : comment garantir la conformité au RGPD

Les règles du jeu de la confidentialité des données se sont transformées en un centime, affectant la capacité des entreprises européennes à évaluer avec précision leurs performances et à évaluer correctement leurs efforts de marketing. Avec les interdits qui sont apparus, les modes de travail habituels ne sont plus possibles, entraînant la perte de données précieuses qui ne seront jamais remplacées.

L'énorme changement dans l'analyse numérique a commencé par l'interdiction d'utiliser Google Analytics dans certains pays européens et s'est terminé par un nouveau cadre de confidentialité des données entre l'UE et les États-Unis. Selon de récentes décisions des autorités européennes de protection des données, l'utilisation de Google Analytics est devenue illégale pour les opérateurs de sites Web dans plusieurs pays. Depuis que la mise en œuvre de Google Analytics est désormais considérée comme une violation du chapitre V du RGPD, les entreprises européennes sont confrontées à une crise.

Cependant, en mars 2022, la situation a changé, essayons donc de déterminer enfin quels problèmes sont survenus avec la confidentialité des données et ce que les entreprises européennes peuvent faire pour sécuriser leurs analyses marketing.

Au cours des deux dernières années, de nombreux événements se sont produits dans le domaine de la confidentialité des données et de Google Analytics. Pour les entreprises européennes, ces changements dans la collecte et l'application des données ont signifié la fin de l'âge d'or de l'analyse marketing avancée et optimisée. Les limitations et les interdictions d'utilisation des données rendent impossible l'application des flux de travail établis. Nous avons rassemblé et cartographié toutes les informations dont nous disposons pour voir comment tous ces changements ont commencé et où nous en sommes maintenant.

En 2020, l'organisation à but non lucratif NOYB a déposé 101 plaintes contre des sites Web de l'Espace économique européen (EEE) qui appliquaient Google Analytics ou Facebook Connect. Après cela, les autorités de protection des données de l'EEE ont commencé à émettre des décisions obligeant les opérateurs de sites Web de l'EEE à cesser d'utiliser ces services au motif qu'ils ne sont pas conformes au règlement général sur la protection des données (RGPD).

Le problème résidait dans la méthode d'application de Google Analytics en Europe, car il stocke les données recueillies sur les résidents de l'UE (données sur le comportement des utilisateurs) sur un service cloud basé aux États-Unis. Le point d'achoppement était - et est toujours - que les garanties prises par Google sont insuffisantes pour empêcher les services de renseignement américains d'accéder aux données personnelles des résidents de l'UE. Selon les autorités européennes de protection des données, ces transferts de données à l'étranger violent le RGPD.

Jusqu'à présent, deux affaires judiciaires ont été entendues. Le premier était un cas autrichien (décembre 2021), suivi d'un cas français moins de deux mois plus tard (février 2022). Le résumé de ces cas est qu'il n'y a pas de protection adéquate des données personnelles des résidents de l'UE ainsi que le transfert illégal de leurs données personnelles vers des services basés aux États-Unis. Par exemple, les numéros d'identification d'utilisateur uniques, les adresses IP et les paramètres de navigateur ne sont pas suffisamment protégés par les clauses de protection standard proposées par Google.

Des cas similaires dans d'autres pays européens pourraient avoir un effet domino en supprimant l'utilisation de Google Analytics (et de services similaires). Comme il existe déjà des réponses et des réactions modélisées à ces plaintes pour violation de la confidentialité des données, il est possible que davantage d'autorités européennes suivent bientôt le mouvement, entraînant une interdiction complète de Google Analytics (et d'autres outils) en Europe.

Puis, le 25 mars 2022, après plus d'un an de négociations, les États-Unis et l'UE ont annoncé un "accord de principe" sur un nouveau cadre juridique pour les transferts de données personnelles conformes au RGPD de l'UE vers les États-Unis. Le cadre transatlantique de confidentialité des données répond aux préoccupations soulevées par la Cour de justice de l'Union européenne dans la décision Schrems II de juillet 2020 et garantit les normes les plus élevées en matière de confidentialité et de protection des données. Google se réjouit de certifier ses processus dans le cadre du Trans-Atlantic Data Privacy Framework à la première occasion. Pourtant, cela reste un "accord de principe", avec des détails et un calendrier à confirmer.

Personne ne peut prédire l'avenir, et comme le paysage numérique évolue rapidement, les entreprises doivent être prêtes à protéger leur flux de travail de traitement des données.

En raison de plaintes déposées par NOYB, de nombreuses autorités de protection des données de l'Espace économique européen (EEE) veulent forcer les opérateurs de sites Web de l'EEE à cesser complètement d'utiliser Google Analytics. Les victimes de ces décisions sont les entreprises européennes qui souhaitent mettre en œuvre des technologies en ligne afin d'augmenter leurs revenus commerciaux et d'améliorer leurs performances globales.

À l'heure actuelle, ces entreprises sont dans une position de faiblesse, car elles attendent que le sujet politiquement brûlant des transferts internationaux de données soit réglé avec des solutions logiques. N'oublions pas que malgré les problèmes de transfert de données, d'autres risques dangereux pour la confidentialité des données sont présents à l'échelle mondiale, tels que les cyberattaques et les rançongiciels.

À l'heure actuelle, les problèmes qui surviennent avec l'utilisation de Google Analytics sont les suivants :

• Les sites Web qui ne peuvent pas se conformer au RGPD paieront de lourdes amendes s'ils continuent à transférer des données utilisateur sensibles vers des services basés aux États-Unis.
• Sans l'application de Google Analytics, les marketeurs craignent de ne pas pouvoir évaluer leurs performances marketing.
• Pour changer leur solution d'analyse marketing, les entreprises dépenseront beaucoup pour apprendre et mettre en œuvre un nouveau produit.

Voyons ce qui peut être fait pour résoudre ces problèmes et comment les entreprises peuvent éviter des problèmes encore plus importants à l'avenir.

Remarque : Le projet NOYB fournit des lignes directrices aux entreprises. En particulier pour les petites entreprises de l'UE qui ne sont pas certaines des lois américaines sur la surveillance ou dont le partenaire américain relève de ces lois, il existe des directives gratuites et des demandes de modèles sur le site Web noyb.eu .

Bien sûr, cet état de choses est désagréable pour de nombreuses entreprises et viole des processus de travail construits de longue date. Cependant, il n'y a aucune raison de désespérer, car ce n'est certainement pas la fin du monde et il existe des moyens de s'en sortir.

Tout d'abord, nous devons commencer par mentionner que Google Analytics peut être implémenté de deux manières. Par conséquent, la manière dont il est mis en œuvre influence sa conformité au RGPD. Les deux méthodes sont :

Habituellement, les sites Web appliquent le mode côté client , ce qui signifie utiliser du code JavaScript sur les pages du site Web, définir des cookies, générer des identifiants client et transférer les données obtenues à Google Analytics pour produire les statistiques du site Web.

Voyons quelles étapes doivent être suivies lors de l'utilisation de Google Analytics en mode côté client. Il y a des choses à la fois techniques et juridiques à vérifier pour assurer la conformité avec le RGPD.

1. Commencez avec le consentement approprié de l'utilisateur. Vous devez informer les utilisateurs que leurs données (informations sur l'appareil, identifiants de suivi, adresses IP, etc.) seront non seulement collectées mais transférées à des services basés aux États-Unis. Par ailleurs, il convient de préciser que les utilisateurs peuvent retirer leur consentement à tout moment.
2. Mettre en œuvre l'anonymisation IP. (Pour les propriétés Google Analytics 4, l'anonymisation IP est activée par défaut.)
3. Vérifiez que l'option de partage de données et l'option de signaux dans Google Analytics sont désactivées.
4. Si vous utilisez des identifiants d'utilisateur propriétaires, assurez-vous qu'il n'y a pas d'autorisation pour l'identification de l'utilisateur.

Important! N'oubliez pas de vérifier la situation juridique. Vérifiez tous les contrats que vous signez, car tous les contrats signés par des entreprises de la région EMEA doivent être conclus avec Google Ireland Limited et non avec Google LLC. Ensuite, vérifiez le TIA couvrant le transfert de données entre Google Ireland Limited et Google LLC.

La deuxième variante consiste à implémenter un mode côté serveur . C'est plus discret, car ce mode vous permet de déplacer les balises hors du site Web (à la fois publicitaires et de mesure) et de les transférer vers un conteneur de serveur sécurisé. De plus, en appliquant le suivi côté serveur, les adresses IP des utilisateurs sont automatiquement anonymisées avant que les informations ne soient partagées avec les outils de création de rapports de Google. En bref, cela signifie qu'il n'y a pas de communication directe entre l'utilisateur et Google. Les informations sont collectées par le serveur de l'éditeur puis transmises à Google pour analyse.

Bien que de nombreuses entreprises puissent avoir l'impression qu'aucun Google Analytics ne signifie aucune analyse du tout, ce n'est pas vrai. Il existe d'autres moyens de mettre en œuvre des analyses marketing avancées, et l'équipe OWOX BI fournit des solutions sûres pour la collecte et le stockage des données.

Qu'est-ce qu'OWOX BI ?

OWOX BI est une solution d'analyse marketing qui automatise la livraison de données à partir de sources cloisonnées vers votre destination d'analyse, garantissant que vos données sont toujours exactes et à jour.

Parmi les principaux avantages de travailler avec des données à l'aide d'OWOX BI figurent les suivants :

• Toutes les données sont stockées dans Google BigQuery en totale conformité avec le RGPD. Le suivi côté serveur d'OWOX BI fournit une collecte de données sécurisée de première partie sur votre domaine personnel. Le processus de suivi est conforme à Schrems II et au RGPD.
• Schéma de données familier de Google Analytics. Vous obtenez le schéma de données universel bien connu de Google Analytics pour les hits et la transformation de session. Il ne faut que quelques minutes pour configurer facilement le suivi à l'aide de vos paramètres Google Analytics actuels.
• Collecte de données de haute qualité. Ne soyez pas affecté par les bloqueurs de publicités et obtenez des données brutes complètes avec une qualité explicable. Collectez chaque hit dans votre espace de stockage Google BigQuery EU en temps quasi réel et sans échantillonnage.
• Marketing efficace et analyse des données. En 2023, une partie importante des informations sur l'efficacité des canaux publicitaires ne seront plus disponibles en raison de la disparition des cookies tiers et de la réduction de la durée de vie des cookies. Vous pouvez minimiser les pertes avec le suivi côté serveur OWOX BI, collecter des données de première partie et les fusionner avec des données marketing dans votre stockage.

Quelles sont les étapes que vous pouvez suivre avec OWOX BI pour sauvegarder vos analyses marketing ?

Comme la plupart des entreprises préfèrent s'assurer que la collecte et le stockage des données ont lieu dans la région de l'UE, OWOX BI évite d'utiliser Google Analytics. En détail, le flux de données OWOX BI ressemble à ceci :

1. Collectez les données du site Web dans le format classique de Google Analytics. Comme ce format de données est familier, il est possible de réutiliser des milliers de requêtes SQL existantes.
2. Collectez des données brutes dans le stockage Google BigQuery en temps réel. Les données obtenues vous appartiennent et sont stockées dans la zone UE que vous avez sélectionnée.

En résumé, OWOX BI permet à chaque marketeur et analyste de poursuivre son travail et d'appliquer des solutions analytiques qui satisfont le service juridique de l'entreprise :

• Assurez la conformité avec le RGPD lorsque vous travaillez avec des données sensibles.
• Évitez de perdre du temps et des ressources sur le retraitement des données ou l'apprentissage et l'adoption d'une nouvelle pile technologique.
• Conservez le balisage existant de votre site Web, car le temps de mise en œuvre ainsi que les délais de valorisation sont très courts.

La situation avec l'interdiction de Google Analytics et le futur cadre transatlantique de confidentialité des données doivent encore être clarifiés. Cependant, quels que soient les résultats, il est préférable de protéger votre entreprise maintenant sans attendre un meilleur moment à l'avenir. Il existe des mesures évidentes que vous pouvez prendre pour minimiser les risques, allant de la préparation juridique et de l'obtention du consentement de l'utilisateur à l'abandon des fournisseurs de services appartenant aux États-Unis.

Le suivi côté serveur OWOX BI fournit une collecte de données sécurisée de première partie conforme à Schrems II et au RGPD. Et la cerise sur le gâteau est la capacité de minimiser les pertes résultant de la disparition des cookies tiers et de la réduction de la durée de vie des cookies.