A compter du 1er juillet 2023, les utilisateurs d’Universal Analytics seront forcés de basculer vers la nouvelle version de la plateforme : Google Analytics 4, introduite le 14 octobre 2020.
Dans un billet de blog publié le 16 mars 2022, Google a précisé les contours de l’outil d’analyse Google Analytics 4. Cette évolution apparaît très nettement comme une réponse aux injonctions des autorités européennes de protection des données personnelles au premier rang desquelles figurent l’autorité autrichienne et la CNIL.
Pour rappel, début février 2022, saisie de plusieurs plaintes par NOYB, organisation européenne de protection de la vie privée, la CNIL, en coopération avec ses homologues européens, a analysé les conditions de transfert des données vers les Etats-Unis lors de l’utilisation de Google Analytics.
Techniquement, chaque fois qu’un utilisateur visite un site web intégrant la fonctionnalité Google Analytics, cette fonctionnalité lui attribue un identifiant unique et les données qui lui dont associées – identifiant cookies, adresse IP, ID de connexion, ID de transaction, ID CRM…etc. – sont transférées par Google aux Etats-Unis. Les données de l’utilisateur pouvaient permettre de l’isoler directement ou par croisement.
Or depuis l’invalidation du Privacy Shield (https://avocatspi.com/2020/07/22/annulation-du-privacy-shield-lintegralite-des-transferts-ou-stockage-de-donnees-aux-etats-unis-remis-en-cause/), les Etats-Unis ne sont plus considérés comme un « pays adéquat » et les transferts y sont interdits.
A ce titre, la CNIL vient d’imposer à un gestionnaire de site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles. L’Autorité a considéré que les mesures supplémentaires adoptées par l’entreprise Google ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains aux données transférées.
Si Google n’a aucune prise sur le niveau de protection des données aux Etats-Unis et, ce faisant, sur le caractère adéquat du pays, l’entreprise américaine entend néanmoins placer « la confidentialité au cœur de ses préoccupations afin d’offrir une meilleure expérience à nos clients et à leurs utilisateurs ».
Techniquement, l’évolution de Universal Analytics à Google Analytics se traduit sur plusieurs points :
- L’anonymisation des adresses IP : il n’y a plus de lien entre les données collectées et les utilisateurs eux-mêmes ;
- La fin du stockage des adresses IP : elles ne sont plus stockées et conservées par Google ;
- La durée de conservation des données sera paramétrable : les données ne pourront être conservées que pendant une durée maximale de 14 mois ;
- Les cookies tiers sont aussi amenés à disparaître : Google s’orienterait vers l’intelligence artificielle et le machine learning – algorithmes nés de mouvements/motifs récurrents de données – pour fournir des données fiables et détaillées.
Récemment, un accord de principe aurait été trouvé entre l’Union Européenne et les Etats-Unis : les nouvelles garanties prévoient la création d’une instance pour les recours des personnes concernées et permettraient d’encadrer les activités de surveillance des services de renseignement américains : Trans-Atlantic_Data_Privacy_Framework.pdf.pdf
Difficile à ce jour de dire si cela suffira pour que les US deviennent un pays « adéquat ».
Charlotte GALICHET
Anna BEJAOUI
Sources :
https://support.google.com/analytics/answer/7667196?hl=fr&ref_topic=2919631
https://blog.google/products/marketingplatform/analytics/new_google_analytics/
Trans-Atlantic Data Privacy Framework (europa.eu)