Benoit Oberlé (Sirdata) "Sur la proxyfication, suivre la Cnil à la lettre transformerait Google Analytics en simple compteur de visites"
Pour Benoit Oberlé, CEO de Sirdata, les éditeurs ne sont pas obligés de supprimer les données d'origine avec un proxy pour rendre Google Analytics conforme. Mais cela reste à démontrer.
JDN. Vous avez analysé la seule alternative proposée par la Cnil pour, dans certaines conditions, rendre Google Analytics conforme au RGPD : la mise en place d'un serveur mandataire (ou "proxy"). Quelles conclusions en tirez-vous ?
Benoit Oberlé. La proxyfication peut rendre en effet l'utilisation de Google Analytics conforme. L'objectif de ce serveur intermédiaire est d'empêcher que les services de renseignement américains puissent identifier des utilisateurs, que ce soit en interceptant leurs données ou en demandant à Google de les leur communiquer. Localisé en Europe, ce serveur proxy se place entre le navigateur de l'utilisateur et les serveurs de Google, où que ces derniers soient dans le monde. Qu'il s'agisse de données IP ou tout type d'identifiant, le serveur intermédiaire transforme les données envoyées à Google afin que cela devienne impossible de remonter jusqu'à l'utilisateur. L'intérêt, c'est que l'individualisation nécessaire à l'outil d'analytics est quant à elle préservée. On saura reconstituer le comportement et l'historique de navigation de l'internaute sans pour autant pouvoir l'identifier.
Mais quel est intérêt pour l'éditeur de cette méthode, s'il ne connaît plus l'origine de son trafic, vu que la Cnil exige la suppression de toute information de ce type (referer, UTM, user-agent etc.) pour que la proxyfication soit valable ?
La suppression de ces informations sur l'origine du trafic semble considérée par la Cnil comme étant nécessaire pour éviter tout risque que cela permette d'identifier l'utilisateur indirectement. Si on devait suivre la recommandation de la Cnil à la lettre, Google Analytics deviendrait en effet un simple compteur de visites. Dans ce cas, les publishers pourraient se dire que cet outil ne leur servira à plus rien. Chez Sirdata, nous pensons cependant que l'éditeur n'est pas obligé d'aller aussi loin. D'un point de vue juridique, l'enjeu actuel est de déterminer si le cadre réglementaire américain (à l'origine de tout ce problème) permet ou non aux services de renseignement américain d'identifier l'utilisateur grâce à ces jeux de données (referer, UTM, etc.) relatives à l'origine de l'internaute. Nos analyses sont toujours en cours mais pour l'instant nous pensons que non, car leur requête (ou interception) ne peut se faire que sur une personne déjà identifiée, dont ils ont une certitude raisonnable qu'elle ne se trouve pas aux Etats-Unis. Si notre interprétation est bonne, l'éditeur pourrait garder la solution de proxyfication tout en conservant les données d'origine. L'outil serait dans ce cas toujours intéressant pour la mesure des audiences, même si le lien direct avec les autres services de Google est rompu.
Si le lien avec les autres services de Google est rompu, cette mise en conformité ne rend-elle pas Google Analytics dépourvu d'intérêt pour beaucoup de publishers ?
"Nous pensons que le renseignement américain ne peut pas identifier l'utilisateur grâce aux données relatives à l'origine de l'internaute"
Bon nombre d'éditeurs et annonceurs qui se servent de Google Analytics le font en effet pour deux raisons : c'est un excellent outil pour disposer de statistiques d'audiences sur son site mais surtout il permet d'établir un lien avec tous les autres produits de la galaxie Google, comme le search, par exemple, pour remonter des conversions et utiliser des listes de remarketing. Et de fait la mise en conformité de Google Analytics avec le RGPD sur la question du transfert de données vers les Etats-Unis a pour conséquence de rompre ces liens. Ne disposant plus que du volet de mesure d'audiences, si complet soit-il, la question se pose en effet pour l'éditeur de changer d'outil et de remplacer Google Analytics par exemple par une solution bénéficiant de l'exemption de consentement. Cet aspect est central et devrait peser dans ce choix.
En quoi l'exemption de consentement peut peser dans le choix de remplacer Google Analytics ?
Le cookie utilisé par Google Analytics n'est pas exempté de consentement. Nos clients éditeurs nous remontent que même lorsque l'on se sert de la modélisation de Google, via le Google Consent Mode, le trafic non consenti reste absent des statistiques. C'est un problème qu'ils constatent depuis plusieurs mois. Or, si on ajoute à cela les conséquences de la mise en conformité, la question devient en effet prégnante surtout lorsque l'on sait qu'il y a une vingtaine de solutions exemptées de consentement. A condition d'assurer un cloisonnement strict de l'outil à l'usage d'analyse d'audiences, ces dernières peuvent attribuer un cookie à cette fin, même en absence de consentement.
Cela fait beaucoup d'obstacles… Pourquoi ne pas préconiser directement de ne plus utiliser Google Analytics ?
Chaque éditeur a ses propres contraintes. Certains veulent s'accrocher à l'outil, qu'ils jugent excellent. C'est par exemple le cas des publishers plus petits et plus agiles, qui préfèrent attendre un peu, quitte à devoir débrancher en cas de mise en demeure. D'autres éditeurs préfèrent, au contraire, sortir de la dépendance dans laquelle ils se trouvent à l'égard de Google. Un certain nombre de grands groupes médias se dirigeraient plutôt vers un changement d'outil, anticipant l'effet d'autres législations à venir en Europe qui pourraient en théorie restreindre davantage l'accès aux outils américains, même lorsque les données sont stockées en Europe. L'épée de Damoclès est bel et bien là et le sujet est loin d'être résolu. N'oublions pas qu'un accord politique a été trouvé entre l'Europe et les Etats-Unis pour offrir un nouveau cadre à cette question du transfert des données. Il faut donner du temps au temps. Et ce temps peut être consacré à la sécurisation de ces transferts en attente d'un accord entre les deux régions.
Quel est le rôle de Sirdata par rapport à cela ?
Nous sommes une plateforme de gestion du consentement. Notre rôle, c'est d'accompagner les publishers dans leur mise en conformité et dans leur orientation sur les conséquences de leurs décisions pour se rendre conformes. Nous devons aider nos clients publishers à faire un choix éclairé. Nous les accompagnerons dans toutes les situations, qu'ils maintiennent Google Analytics ou non.