Les questions à se poser avant de choisir une alternative à Google Analytics
Faire partie des solutions mises en avant par la Cnil ne suffit pas pour régler tous les problèmes, et encore moins pour convenir à tous les publishers.
La décision de la Cnil de considérer l'utilisation de Google Analytics non conforme au Règlement général sur la protection des données (RGPD) pousse les éditeurs à s'interroger sur quelle solution alternative adopter. Même s'ils sont nombreux à préférer attendre qu'un accord entre l'Union européenne et les États-Unis voit le jour pour régler le fond du problème, de grands éditeurs et grandes marques franchissent le pas de débrancher GA. Et pour cause : garder Google Analytics tant qu'un accord entre l'Europe et les Etats-Unis ne voit pas le jour expose le publisher au risque de se voir infliger par la Cnil une mise en demeure de se mettre en conformité avec le RGPD en cas de plainte. Mais alors sur la base de quels critères choisir une alternative ?
En juin dernier, la Cnil a publié une foire aux questions rappelant l'existence d'une liste d'outils de mesure d'audience alternatifs, pouvant être exemptés de consentement lorsqu'ils sont correctement configurés. Mais est-ce vraiment suffisant comme critère pour ne plus s'exposer à des risques de mise en demeure ?
L'audit de la Cnil ne suffit pas
Figurer sur la liste de la Cnil est un élément favorable. Mais loin d'être suffisant pour répondre aux enjeux posés par les transferts internationaux des données. De plus, il ne signifie pas que ces solutions disposent du blanc-seing de l'autorité française.
Car l'audit de la Cnil date un peu (il a été réalisé en 2021). Et il visait surtout à vérifier si les solutions répondaient aux critères leur permettant de mettre en place une utilisation d'analytics exemptée du consentement de l'utilisateur. Celle-ci doit en effet obéir à certains critères stricts : la finalité du dépôt de cookie est limitée à la mesure d'audience, les statistiques produites sont anonymes, pas de transmissions à des tiers, etc. En revanche, le sujet de risque de fuites de données du fait de leur transfert vers des pays n'offrant pas la même niveau de sécurité que le RGPD, en l'occurrence les Etats-Unis, n'est pas du tout entré en compte dans la publication de cette liste par la Cnil le 23 septembre 2021.
"Les entreprises souhaitant faire de l'analytics pur ont tout intérêt à adopter une solution exemptée de consentement, car cela augmente sensiblement le volume d'audiences pouvant être mesurées", explique Ola Mohty, juriste et experte RGPD chez Data Legal Drive. Mais elle précise : "Ne choisissez pas l'outil parce qu'il est dans la liste de la Cnil : il faut vérifier auprès de chaque fournisseur qu'il respecte bien encore les conditions imposées par la Cnil pour être exempté de consentement."
L'analytics couplé à l'activation
Mais l'option sans consentement ne répond pas vraiment aux besoins de toutes les entreprises. Bon nombre de grandes marques et médias ne se contentent pas de la seule analyse d'audience. "Beaucoup d'acteurs de l'industrie interfacent l'analytics avec d'autres solutions pour réengager une communication avec leurs audiences sur leur propre site ou ailleurs, pour leur propre compte voire pour des tiers sur les places de marché publicitaires. Dès lors, trois consentements a minima sont nécessaires : un au titre de la directive ePrivacy, deux autres au titre du RGPD (finalité d'analytics, finalité d'activation publicitaire)", explique Sébastien Gantou, CEO de Digital DPO. Se pose donc la question des types de données collectées, de la manière dont ces outils sont interfacés ou non avec des solutions d'activation publicitaire et des garanties spécifiques qu'ils offrent en matière de sécurité et de traitement de données (collecte et stockage).
Faut-il pour autant privilégier les solutions européennes ?
Les spécialistes sont souvent d'accord sur un point : si on devait prendre à la lettre l'interprétation que la Cnil fait de l'absence de cadre réglementaire pour les transferts de données de l'Europe vers les Etats-Unis, un risque d'accès aux données des citoyens européens par des autorités américaines est théoriquement possible dès lors qu'une technologie américaine est impliquée dans la chaîne.
Cela veut-il dire qu'il faut à tout prix privilégier une solution française ou européenne ? "La Cnil s'est prononcée sur GA, pas sur les autres solutions. Il y a des situations où les alternatives sont complexes ou partielles. Quand le droit n'interdit pas, vous êtes par principe autorisé. Il faut mener une analyse de risque juridique et technique sur les outils et traitements à mettre en place", précise Sébastien Gantou. De plus, même dans le cas où la solution est française, du moment où le publisher souhaite l'interfacer avec d'autres outils à de fins de reciblage ou d'activation publicitaire, le risque d'accès aux données par des autorités américaines pourrait théoriquement se poser dans la mesure où l'immense majorité des technologies publicitaires sont américaines.
Que faire alors dans les cas des solutions qui, soit ont un actionnaire ou une maison mère américains, soit s'interfacent avec d'autres technologies américaines ? "Une solution à cette impasse peut être de : 1) demander au prestataire s'il a déjà dû transférer à la demande des autorités américaines des données personnelles d'utilisateurs situés en Union européenne ; 2) exiger du prestataire un engagement par écrit de prévenir le publisher si une telle demande d'accès aux données de la part d'autorités non européennes devait avoir lieu ; et 3) prévoir des garanties financières", précise Sébastien Gantou. Le spécialiste confirme qu'aucune solution du marché ne peut en l'état offrir une garantie absolue qu'aucune fuite de données, plainte ou mise en demeure ne pourrait se produire. "Les prestataires peuvent fournir des engagements écrits : à voir après s'ils semblent suffisants. Le risque résiduel doit être assumé par le publisher après l'analyse de risque qui démontre sa prise de conscience du sujet et les mesures mises en place."