Skip to Content

Google Analytics 4 est-il à nouveau légal en France ? (CNIL, RGPD)

Nicolas Belhamri
4 min

Avant de commencer, voici une formation gratuite en rapport avec la question traitée qui devrait vous donner les informations nécessaires pour bien comprendre la réponse à cette question :

Formation sur Google Analytics 4 (2023)

Allez, c’est parti ! 🤓


Téléchargez 3 exemples de plan de taggage web GA4/GTM (SaaS, e-commerce, lead generation)
Télécharger
Téléchargez notre dashboard e-commerce CRO GA4 Looker Studio (template)
Télécharger


Pour une meilleure compréhension, découpons la réponse à cette question comme ceci :

  • Pourquoi Google Analytics 4 était-il considéré comme illégal en France par la CNIL ?
  • Quelles étaient les 2 principales solutions à envisager en réponse à cette illégalité ?
  • Qu’avons-nous observé chez nos clients en réponse à cette illégalité ?
  • Google Analytics 4 est-il à nouveau légal en France ?


Pourquoi Google Analytics 4 était-il considéré comme illégal en France par la CNIL ?


Dans ses décisions (dont une version anonymisée avait été publiée en février 2022), la CNIL avait considéré que l’utilisation de Google Analytics (peu importe la version) entraînait, en l’état actuel, des transferts de données insuffisamment encadrés vers les États-Unis.

Si l’on résume simplement, la CNIL considérait que certaines données (notamment l’adresse IP, le client_id, le user_id et le user-agent) étaient des données personnelles, et que ces données étaient transférées aux États-Unis, un pays qui autorisait trop facilement les services de renseignement à y accéder. Cette facilité d’accès allait à l’encontre du RGPD (Règlement général sur la protection des données).

Ainsi, la majorité des déploiements de Google Analytics 4 (déploiements classiques) n’étaient pas conformes aux directives de la CNIL relatives au RGPD.


Quelles étaient les 2 principales solutions à envisager en réponse à cette illégalité ?


Dans le cas où vous étiez contrôlé par la CNIL avec un déploiement non conforme, vous auriez eu un délai de mise en conformité (sans véritable sanction donc), vous permettant de retirer Google Analytics 4 ou rendre conforme son déploiement.

En déployant parallèlement une solution web analytics alternative conforme comme Matomo, Piwik Pro ou encore Piano Analytics (solution 1), vous vous laissiez la possibilité de changer de manière sereine et rapide, sans perte de données historiques, si la CNIL vous tombait dessus.

Restait la possibilité de rendre votre implémentation de Google Analytics 4 conforme aux exigences de la CNIL avec notamment de l’anonymisation, de la pseudonymisation et de la proxification (solution 2).

“Proxyfication” signifie pré-traiter les données (sur un serveur proxy) avant de les envoyer vers Google Analytics 4, afin de retirer les éléments problématiques. Plus d’informations sur le sujet ici :

https://docs.addingwell.com/fr/b/46809BD4-44B7-492B-A862-9D8FA298C51C/Cnil-Proxyfication


Qu’avons-nous observé chez nos clients en réponse à cette illégalité ?


Dans les faits, le risque de contrôle par la CNIL diminuait très fortement si vous enregistriez un faible volume de sessions (inférieur à 150 000 par mois) et si vous ne collectiez pas de données sensibles (comme des données médicales, par exemple).

Voici ce que nous observions le plus souvent chez nos clients en réponse à cette illégalité de Google Analytics 4 :

Dans le cas où le client concerné collectait des données sensibles et/ou collectait énormément de données et/ou avait une forte présence publique et/ou avait un pôle légal (DPO), il migrait généralement vers Piano Analytics (alternative la plus robuste selon nous) et arrêtait Google Analytics 4. De cette manière, il limitait la charge de travail initiale (car uniquement un tracking web analytics) ainsi que les éventuelles urgences futures.

S’il était dans le cas ci-dessus, mais que son budget ne s’y prêtait pas, il migrait généralement vers Matomo ou Piwik Pro et arrêtait Google Analytics 4. De cette manière, il limitait la charge de travail initiale (car uniquement un tracking web analytics) ainsi que les éventuelles urgences futures.

Dans les autres cas, il déployait parallèlement une solution alternative (Piano Analytics, Matomo, Piwik Pro). De cette manière, si la CNIL lui tombait dessus avec une mise en demeure et un délai de mise en conformité, il se laissait le luxe de pouvoir arrêter Google Analytics 4 et de changer de solution principale de manière sereine et rapide, sans perte de données historiques.


Téléchargez notre formation sur Google Analytics 4 (version longue)
Télécharger



Le 10 juillet 2023, la Commission européenne a déclaré que les États-Unis redevenaient un pays “adéquat” au sens du RGPD alors que ce n’était plus le cas depuis juillet 2020.

Ce changement de cap est imputé au décret de Joe Biden intitulé “Renforcement des garanties pour les activités de renseignement des États-Unis”, qui instaure une surveillance plus rigoureuse de l’accès aux données par les services de renseignement.

Concrètement, cette décision d’adéquation autorise les entreprises européennes à transférer les données de leurs utilisateurs européens vers les États-Unis.

À date (octobre 2023), cette nouvelle fait de Google Analytics 4 un outil qui n’est plus illégal en France (même sans proxification et donc sans perte de performance de l’outil) ! Voici les sources :

https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision

https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_3721

La CNIL s’est indirectement prononcée sur le sujet en redirigeant toutes les pages de son site web qui affirmaient de plus ou moins loin l’illégalité de Google Analytics 4 vers cette page (qui affirme la légalité) :

https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision

C’est par exemple le cas avec ces liens :

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite

https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

⚠️ Attention toutefois, le sujet n’est pas stable et pourrait évoluer dans les mois à venir. En effet, plusieurs plaintes réclamant l’annulation de l’accord entre les États-Unis et l’Union européenne sur les transferts de données ont déjà été déposées. Voici une nouvelle récente sur le sujet :

https://www.latribune.fr/technos-medias/internet/souverainete-numerique-le-depute-philippe-latombe-attaque-en-justice-les-transferts-de-donnees-vers-les-etats-unis-975480.html

Quoi qu’il en soit, le respect du consentement des utilisateurs n’est pas une option.

Peu importe votre solution web analytics, et à moins que vous mettiez en place une collecte exemptée de consentement sur un outil agréé par la CNIL, le recueil du consentement est une nécessité.

Consultez aussi…

GLOSSAIRE

Recherchez les définitions qui vous manquent !

CAS CLIENTS

Nos cas clients par industrie, type de business et type de mission !

BLOG

L’actu data, par BORYL !

Recevez chaque mois des ressources pour garder une longueur d’avance sur les sujets Data Marketing & Analytics !
S'INSCRIRE À LA NEWSLETTER
Google Analytics 4 est-il à nouveau légal en France ? (CNIL, RGPD)
Back to top

[Webinaire] CDP composable liée à Klaviyo : avantages et cas d’usage concrets ! 👉 S’INSCRIRE 👈