Google Analytics 4, la réponse de Google à la Cnil ?

Google Analytics 4, la réponse de Google à la Cnil ? Alors que deux nouvelles entreprises françaises auraient été mises en demeure par la Cnil, le groupe accélère la transition de son outil d'analytics vers une version plus apte à satisfaire les exigences de l'autorité.

Google a surpris son monde ce 16 mars. Et n'a pas fait beaucoup d'heureux parmi les professionnels de l'analytics et du SEO. La cause de leur courroux ? Un billet de blog dans lequel le groupe annonce un calendrier d'abandon de son outil d'analyse du trafic web Universal Analytics au profit d'une nouvelle version, baptisée Google Analytics 4 (GA4) et déjà disponible. Un calendrier serré puisqu'Universal Analytics sera abandonné à partir de juillet 2023 pour sa version Standard et octobre 2023 pour la version 360. Les données seront, elles, encore accessibles "au moins 6 mois" après cela, écrit Google.

Pourquoi cette annonce met-elle tout ce petit monde en émoi ? D'abord parce que la décision surprend, rien ne présageait son imminence, ensuite parce que GA4 est un total changement par rapport aux versions précédentes (de techno, d'interface, de philosophie, et même de jargon), enfin parce que la transition des données n'est aujourd'hui pas totalement assurée, Google ne proposant pour le moment aucun outil dédié.

Le géant se serait-il précipité ? Peut-être bien, et la Cnil, l'autorité française de protection des données personnelles, ainsi que ses homologues européennes, n'y seraient pas étrangères. Pour comprendre pourquoi, un rappel des faits s'impose. Le 10 février dernier, la Cnil a mis en demeure un gestionnaire de site web - Auchan, a-t-on appris par la suite, sans que ce soit officiellement confirmé - de se mettre en conformité avec les règles régissant le transfert de données. En cause, son utilisation de Google Analytics, dont l'anonymisation des datas est jugée insuffisante vu leur traitement aux Etats-Unis, où les autorités peuvent avoir libre accès aux données des internautes. Cette mise en demeure faisait suite à une action du même acabit de l'autorité autrichienne, les deux décisions faisant elles-mêmes suite à une série de plaintes (101 !) de l'association None of Your Business (NOYB) déposées dans différents pays concernés par le Règlement général sur la protection des données, le désormais célèbre RGPD.

Sephora et Décathlon mis en demeure ?

Deux décisions qui n'étaient donc que le début d'une longue liste, les 101 plaintes étant identiques et les autorités nationales travaillant de concert. D'ailleurs, deux nouveaux gestionnaires de sites web concernés par les plaintes auraient eux aussi été mis en demeure de se mettre en conformité par la Cnil, écrit sur LinkedIn Romain Robert, program director chez None of Your Business, qui en aurait été informé par la Cnil elle-même. Sollicitée, cette dernière n'a pas encore confirmé l'information au Journal du Net. Trois entreprises en France étaient concernées par les plaintes de NOYB pour leur utilisation de Google Analytics : Auchan, Décathlon et Sephora. Ces deux derniers sont donc a priori les deux entreprises concernées par les mises en demeure. La liste des sociétés visées par les plaintes de NOYB est disponible ici. NOYB n'a pour l'heure pas copie des mises en demeure, nous écrit Romain Robert.

"Google Analytics 4 ne stockera plus les adresses IP"

Pourquoi nous vous racontons cela ? Car plutôt que de voir tous ses clients abandonner sa solution au profit de concurrents plus respectueux du RGDP, Google souhaite désormais complaire à la Cnil, a-t-on appris auprès de certains clients. Et pour cela, Google doit parvenir à une anonymisation des données jugées suffisante par l'autorité française (et bien sûr ses homologues européennes). Et Google Analytics 4 apparaît comme sa planche de salut. On vous passera les détails techniques, d'autant qu'on vous dirait sans doute des bêtises, mais en résumé la technologie sur laquelle s'appuient les versions précédentes et actuelles de Google Analytics ne permet pas d'anonymiser l'adresse IP de l'internaute sans les héberger d'abord en dehors de l'UE. GA4, lui, en est capable. Le géant l'écrit d'ailleurs en toutes lettres dans son billet : "Il est important de noter que Google Analytics 4 ne stockera plus non plus les adresses IP. Ces solutions et ces contrôles sont particulièrement nécessaires dans le paysage international actuel de la confidentialité des données, où les utilisateurs s'attendent de plus en plus à davantage de protection de la vie privée et de contrôle sur leurs données." Les utilisateurs… et les clients de Google.