Les différentes approches de l’UE et des États-Unis en matière de protection de la vie privée créent une incertitude quant à l’utilité de nombreuses solutions technologiques de marketing que les spécialistes du marketing utilisent quotidiennement, qu’il s’agisse Google Analytics, Facebook ou Salesforce. En l’absence d’un accord valide sur les données et la confidentialité entre l’UE et les États-Unis, ils sont incompatibles avec le RGPD – Règlement général sur la protection des données de l’UE, et les autorités de protection des données à travers l’Europe prennent progressivement des mesures contre Google Analytics.

Jusqu’à présent, deux accords UE-États-Unis ont été conclus pour réglementer ce domaine et protéger de manière adéquate les données américaines d’un éventuel accès au renseignement américain. Par conséquent, il n’est pas certain que le nouvel accord récemment annoncé réglementera réellement ce domaine et réduira l’incertitude à laquelle les organisations sont confrontées.

Début avril, nous avons parlé avec Maciej ZawadzińskiPDG de Piwik PRO, experts en technologies de la publicité et du marketing, défenseurs du droit à la confidentialité en ligne et fondateurs de plusieurs entreprises prospères, dont Clearcode, le premier éditeur de logiciels au monde spécialisé dans les technologies de publicité et de marketing personnalisées.

Dans combien de pays de l’UE le régulateur national a-t-il déjà décidé que Google Analytics viole le RGPD ?

Les autorités de protection des données en Autriche, en France et au Liechtenstein ont déjà pris des mesures contre Google Analytics. Aux Pays-Bas et en Norvège, les autorités nationales de protection des données ont publiquement indiqué qu’il existe un potentiel de conformité au RGPD avec la solution Google Analytics, et leurs décisions peuvent être conformes à ce que disent les autres.

Tout cela est le résultat d’un procès intenté par l’ONG Noyb, connue pour ses affrontements avec des géants de la technologie. L’été dernier, dès que la Cour de justice de l’UE a annulé le bouclier de protection des données, Noyb a déposé 101 plaintes contre des entreprises de l’UE utilisant Google Analytics et Facebook Connect. Lorsque le cadre régissant le transfert de données entre l’UE et les États-Unis est tombé, ces deux outils (ainsi que de nombreux autres) sont devenus incompatibles avec le RGPD. Des plaintes ont été déposées dans toute l’UE, nous pouvons donc nous attendre à ce que davantage d’autorités de protection des données adoptent des positions sur Google Analytics dans les mois à venir.

La raison de ces décisions est le fait que les données fournies aux États-Unis ne sont pas suffisamment protégées contre un éventuel accès par les services de renseignement américains. Cela découle de la décision de juillet 2020 selon laquelle le bouclier de protection des données utilisé par les entreprises pour transférer des données de l’UE vers les États-Unis est illégal. La seule solution possible dans ce cas est que l’UE et les États-Unis parviennent bientôt à un nouvel accord sur le transfert de données, comme annoncé fin mars de cette année. Cependant, deux accords de ce type ont échoué jusqu’à présent. Que penses-tu qu’il va se passer? Cette « approche » d’accords de transfert de données pas assez bons est-elle durable ?

Le RGPD stipule que les données personnelles ne peuvent être transférées que vers des pays qui assurent une protection adéquate de ces données. Les États-Unis n’ont pas de loi fédérale sur la protection des données et, au niveau des États, les lois sur la confidentialité sont beaucoup moins strictes que le RGPD. En outre, sous certaines conditions, les services de renseignement américains peuvent accéder à toutes les bases de données (par exemple, les données personnelles des citoyens de l’UE) détenues par des entreprises américaines, quel que soit l’emplacement du serveur. Cette possibilité a été la principale raison pour laquelle le dernier cadre de transfert de données entre l’UE et les États-Unis – le Privacy Shield – est tombé.

Ce nouveau cadre transatlantique pour la protection des données et la vie privée doit réglementer l’ensemble de l’économie numérique entre l’UE et les États-Unis, car la majeure partie de cette économie dépend du transfert de données vers les États-Unis et vice versa. Il est très important de trouver une solution durable qui permettra à cet immense secteur de se développer en toute sérénité.

Sans projet à examiner, il est difficile de prédire quelles sont les chances que le nouveau document réponde aux attentes des juridictions de l’UE. Jusqu’à présent, seul un accord de principe a été trouvé, ce qui signifie que les deux dirigeants politiques ont convenu que la zone devait être réglementée. Le projet proprement dit sera préparé dans les mois à venir et la mise en œuvre du document prendra encore plus de temps.

Selon nos informations, ce nouveau cadre est censé répondre à certaines des préoccupations de l’UE concernant la législation américaine sur le renseignement. Cependant, certains préviennent déjà que cela ne suffira pas. Noyb contestera certainement légalement le nouvel accord. Si des garanties supplémentaires ne convainquent pas les tribunaux de l’UE, cet accord pourrait se terminer de la même manière que Safe Harbor et Privacy Shield.

Pourquoi Google Analytics ne stocke-t-il pas simplement les données dans l’UE ?

En stockant des données personnelles dans l’UE, Google ferait un pas dans la bonne direction, mais cela ne résout pas le problème général. Les agences de renseignement américaines peuvent ordonner à n’importe quelle entreprise basée aux États-Unis de transmettre des données, peu importe où se trouvent les serveurs. Google Analytics appartient à une société américaine qui est tenue par la loi de fournir des informations sur une telle demande. Même si elle opère à travers des filiales en Irlande, cela ne change rien. Ce problème ne disparaîtra que si Google vend Google Analytics à une société non américaine.

Google Analytics est utilisé par des millions de sites Web. Les propriétaires de ces sites Web devraient-ils répondre – quand et comment ?

Les décisions des autorités de protection des données restent valables et le GA n’est pas conforme au RGPD jusqu’à l’entrée en vigueur du nouvel accord, qui se poursuivra. Par exemple, la CNIL continue d’envoyer des alertes aux entreprises utilisant GA. Nous n’avons aucune information selon laquelle d’autres autorités de protection des données modifieraient leurs plans de vérification GA à la suite de cette annonce.

Par conséquent, travailler actuellement avec Google Analytics signifie travailler dans une incertitude constante. Je ne pense pas qu’il y ait beaucoup d’organisations qui puissent se le permettre, surtout si elles dépendent fortement des données dans leur entreprise. Je leur recommanderais de trouver une nouvelle solution dès que possible, bien qu’un nouveau cadre pour le transfert de données soit en préparation.

Un autre facteur doit être pris en compte. Google annonce le déclin de son produit le plus populaire Universel Analytique. Il sera remplacé par GA4, qui apporte une technologie de reporting et de mesure différente, mal connue des marketeurs et peu acceptée. GA4 offre une protection de la vie privée légèrement meilleure que GA3, mais même avec la mise en œuvre du nouveau cadre de confidentialité, certains problèmes de conformité subsisteraient (par exemple, partage de données avec les publicités, les signaux, la collecte de données sans emplacement de stockage garanti).

Donc, si vous devez remplacer votre ancien Google Analytics, pourquoi ne pas choisir un nouveau fournisseur d’analyse ? Il existe d’excellentes solutions gratuites et payantes qui aident les organisations à équilibrer la collecte de données précieuses avec la confidentialité et la conformité. Avec des solutions analytiques conformes au RGPD, la collecte de données devient comme elle se doit : prévisible et durable.

Quelles alternatives conformes au RGPD sont disponibles pour les sites Web qui sont en train d’introduire l’analyse ? Que proposent-ils par rapport à Google Analytics ?

Dans l’ère post-Schrems II, le pays d’origine du fournisseur et la possibilité d’itinérance sont devenus des indicateurs clés de la conformité au RGPD, parmi de nombreuses exigences. Afin que les organisations puissent protéger les données clients des agences de renseignement américaines, elles doivent envisager une solution analytique pouvant être hébergée par elles-mêmes ou proposée par des fournisseurs de l’UE qui assurent l’itinérance et la gestion dans l’UE. Dans ce groupe se trouvent des solutions telles que Piwik PRO et Countly ou les moins avancées Plausible and Simple Analytics.

Les capacités de suivi et de rapport des outils alternatifs sont assez difficiles à comparer. Google envisage le web analytics à sa manière, et il en va de même pour toutes les solutions alternatives. Certains utilisent des concepts similaires à ceux de Google (comme Piwik PRO), tandis que d’autres sont construits autour d’une philosophie complètement différente. Lors de la recherche d’une alternative, il est judicieux de dresser une liste des fonctionnalités que l’organisation attend de la solution et de vérifier ce qui est disponible auprès des fournisseurs.

Quelle est la probabilité que les principaux outils marketing ne soient soudainement plus disponibles ? Comment les spécialistes du marketing devraient-ils s’y préparer et quelle est selon vous l’urgence ?

Bruxelles travaille dur pour réglementer les géants de la technologie et leurs opérations dans l’UE. Cela pourrait avoir une incidence sur l’utilité future des principaux outils de marketing pour les utilisateurs de l’UE, car les géants de la technologie fournissent de nombreuses technologies et solutions de pointe. Il n’est pas totalement impossible pour tout autre fournisseur américain d’enfreindre le droit de l’UE à un moment donné.

Les organisations ne doivent pas attendre, mais prendre des mesures pour réduire les risques. L’évaluation de la conformité de l’équipement technologique doit d’abord être effectuée. Une attention particulière devrait être accordée à la technologie de transmission massive de données sur les citoyens de l’UE, qui est très susceptible d’être testée par les autorités de protection des données, par exemple dans le domaine de la technologie publicitaire, de la technologie des tubes de données et de la technologie du marketing.

Avant de rechercher des solutions alternatives, les organisations peuvent essayer de concilier les solutions existantes (par exemple, avec les paramètres appropriés du gestionnaire de consentement, la transition vers l’itinérance basée dans l’UE, l’introduction d’un cryptage supplémentaire des données).

Pour les technologies professionnelles indispensables, je recommande d’envisager un remplacement. Comme avec GA, l’utilisation de solutions qui peuvent ne pas être conformes au GDPR apporte une incertitude et ce n’est pas une base appropriée pour le succès d’une entreprise.