Interdiction de Google Analytics par la Cnil : quelles conséquences pour les entreprises françaises ?

La décision de la Cnil a mis en évidence une anomalie liée au fait que depuis l'implosion du Privacy Shield mi-2020, une entreprise européenne ne peut plus, en principe, stocker les données personnelles de ses visiteurs/clients/prospects sur un service américain.

La décision de la CNIL de demander à un site français de désinstaller Google Analytics sous un mois, a mis en évidence, une "anomalie" liée au fait que depuis l’implosion du Privacy Shield mi-2020, une entreprise européenne ne peut plus, en principe, stocker les données personnelles de ses visiteurs/clients/prospects sur un service américain. En effet, la législation américaine autorise, entre autres, que la justice ou les services de renseignements américains accède à ces données (moyennant le respect de certaines procédures). Cela est incompatible avec le RGPD.

Pourtant, on observait une curieuse tolérance depuis 2020 (peut-être liée à l’apathie liée à  la crise du Covid ?). Il y avait bien quelques signaux, comme une décision de la CNIL allemande (BayLDA) qui interdisait à une entreprise d’utiliser Mailchimp comme plateforme d’envoi d’emails en avril 2021.

En réalité, ce n’est pas Google Analytics qui est au centre des préoccupations, mais bien le transit, le traitement ou encore le stockage de données personnelles de vos utilisateurs, clients, prospects ou simples visiteurs sur des serveurs nord américains.

Autrement dit, tous ceux qui utilisent les audiences personnalisées de Facebook Ads, qui posent le tag de tracking des conversions des campagnes Google Ads, qui font remonter des événements « Google Tag Manager », qui ont mis en place des séquences de vente automatisées sur Clickfunnel, qui utilisent Salesforce comme plateforme de CRM, qui ont une boutique sur Shopify, qui pratiquent le marketing automation pour prospecter sur les réseaux sociaux, qui détectent les zones chaudes de leurs pages avec Hotjar, qui réalisent des A/B Tests avec Google Optimize ou VWO, qui diffusent des pop-ups avec Optin Monster ou qui stockent ou traitent leurs données sur AWS, vont être confrontés à des choix cornéliens. 

Soit ils restent dans l’illégalité et attendent un contrôle de la CNIL, soit ils migrent vers des solutions européennes et …. leur calvaire commence. Bien que je sois l’un des initiateurs du mouvement PlayFrance Digital en faveur de la souveraineté numérique, que je sois convaincu qu’à long terme, cela permettra de renforcer l’industrie du numérique européenne et que mon agence réserve 90% de ses investissements dans le numérique à ces sociétés françaises, l’abandon de toutes les plate-formes nord américaines au profit de solutions européennes aura quatre types de conséquences fâcheuses pour la plupart des PME françaises.

Première conséquence fâcheuse : un renchérissement des coûts pour les PME

La plupart des PME se sont habituées à ne pas payer pour analyser l’audience de leur site avec Google Analytics, gérer leurs balises avec Google Tag Manager, réaliser leur reporting sur Google Data Studio, faire transiter des données par Google Sheets, collaborer sur des outils tels que Slack, gérer ou encore réaliser des tests A/B avec Google Optimize. Le passage à des solutions européennes, qui offrent rarement des versions gratuites « riches », génèrent trois types de coûts : de nouveaux abonnements à régler, des honoraires pour l’installation des nouvelles solutions et la formation à ces nouveaux outils de tous ceux qui les utilisent. Ce dernier poste n’est pas nécessairement le moins coûteux.

Exception notable : la migration des données de clouds américains comme AWS, très coûteux, vers des solutions équivalentes ou serveurs dédiés européens, souvent moins coûteux.

Deuxième conséquence fâcheuse : des fonctionnalités moins riches.

Il existe de nombreuses très bonnes solutions européennes concurrentes des solutions américaines, mais qui sont souvent très coûteuses si l’on souhaite avoir le même niveau de fonctionnalités. A moyen terme, une bascule sur ces outils européens leur donnera les moyens d’investir pour rattraper leur possible retard sur les solutions américaines, mais à court terme, elles offrent souvent moins de fonctionnalités que leurs concurrentes américaines.

Troisième conséquence fâcheuse : la désorganisation

L’une des raisons pratiques, qui me pousse, à recommander des solutions américaines comme Mailchimp à nos clients ou aux participants des formations en marketing digital que j’anime, est qu’elles permettent facilement échanger des données, par le jeu d’intégrations en quelques clics avec Google Analytics, Wordpress, Optinmonster, Facebook, Livechat, Linkedin, Woocommerce, Typeform, Shopify… Abandonner Mailchimp pour une solution française, c’est renoncer à de la facilité, des gains de temps et même souvent à la possibilité de faire communiquer deux systèmes. Et ce sujet des intégrations ne représente que la partie émergée des problèmes de réorganisation que le passage à des solutions européennes engendre à court terme.

Quatrième conséquence fâcheuse : de moindres performances commerciales

Qu’on le regrette ou pas, Google Ads et Facebook Ads dominent le marché de la publicité digitale en France. Ces sociétés dominent ce marché, pas uniquement parce qu’elles ont construit une position hégémonique dans le domaine de la recherche, pour l’une et des réseaux sociaux pour l’autre, mais aussi parce qu’elles ont inventé des systèmes de ciblage de la publicité infiniment plus efficaces que celui des autres régies publicitaires. Or, en dehors du pur ciblage par mot-clé de Google, toutes les offres publicitaires de Google Ads et de Facebook Ads reposent sur la collecte de données personnelles. Pire, depuis l’introduction des algorithmes de machine learning sur ces deux plateformes, les annonceurs sont contraints d’installer des trackers (Facebook Pixel, Tag de conversion Google Ads) qui analysent la qualité du trafic renvoyé afin que les algorithmes apprennent qui sont les profils d’internautes qui réagissent le mieux aux publicités. Sans ces trackers, les algorithmes n’apprennent (presque) plus rien. Sans transfert de données vers ces plateformes américaines, les campagnes seront beaucoup moins rentables.

On le voit, donc, l’application stricte de la réglementation européenne en matière de protection des données personnelles, ne peut se faire à court terme, sans cause d’importants désagréments, mais surtout doit être accompagnée de plusieurs conditions :

• Une interconnexion des solutions européennes entre elles (via des intégrations)
• Une amélioration des performances en matière de ciblage des régies publicitaires françaises avec des outils faciles d’accès aux PME
• Un important effort de formation aux nouveaux outils
• Une période d’adaptation assez longue afin de donner le temps aux entreprises de définir et d’appliquer un plan de migration global

D’une certaine façon, à moi qui suis écologiste, ce dilemme de la bascule vers des solutions européennes, me rappelle le dilemme de la voiture électrique : moins pratique, plus chère et nécessitant d’important travaux au niveau des infrastructures.