Google Analytics et la CNIL : quels enjeux pour l’Attribution Marketing?

Le 10 février 2022, la CNIL a estimé illégaux les transferts de données personnelles impliqués par Google Analytics.

Comment en est-on arrivé là, et qu’est-ce que cela signifie pour vos pratiques de tracking ? Existe-t-il des outils d'attribution RGPD-compliant ?

Cet article vous résume en termes simples ce qui est reproché à Google Analytics ainsi que les divers enjeux pour l’attribution marketing.

I. Les dessous de la décision de la CNIL concernant Google Analytics

1. Comment en est-on arrivé là ? 

Depuis 2016, le RGPD a exigé des entreprises qu’elles s’assurent du consentement éclairé, libre et spécifique des visiteurs avant de récolter leurs données. De leur côté, les utilisateurs ont pu demander l’accès, la correction ou la suppression de leurs données personnelles.

Le RGPD a aussi imposé aux entreprises de garantir un niveau de protection suffisant pour l’intégrité des données personnelles des citoyens européens si elles veulent les transférer en dehors de l’espace européen. Or, pour gérer leur service, les entreprises américaines ont besoin de transférer certaines données européennes (le Google ID pour Google) vers leurs serveurs aux États-Unis. 

Dans cette optique, l’accord Privacy Shield a été négocié entre autorités européennes et américaines, pour limiter ces risques en encadrant ce transfert de données intercontinental. 

Cependant, en 2020, la CJUE (Cour de Justice de l’Union Européenne) annule cet accord, estimant qu’il ne permettait pas aux entreprises européennes de garantir les droits des consommateurs européens sur leurs données personnelles traitées aux Etats-Unis - c’est l’arrêt Schrems II. 

Par la suite, en août 2020, l’association autrichienne NOYB, présidée par Maximilian Schrems, a estimé que les actions mises en œuvre par Google et Facebook ne satisfaisaient pas les craintes de Schrems II. Ainsi, 101 plaintes ont été déposées en Europe par l’association NOYB dont 6 qui concernent des sites en France qui utilisent Google Analytics ou Facebook Connect.

Pressé de maintenir un cadre juridique à ses outils en Europe, Google s’est alors appuyé sur des clauses contractuelles types (CCT) avec les entreprises européennes. Les CCT désignent des engagements écrits entre les parties, qui peuvent servir de base pour les transferts de données depuis l'UE vers des pays tiers, en prévoyant des garanties appropriées en termes de protection des données. 

L’arrêt de la CJUE validait l’usage de ces clauses contractuelles, mais seulement si elles assuraient un niveau de protection suffisant. 

Cependant, le 13 janvier 2022, l’équivalent autrichien de la CNIL (DSB) a déclaré que l’utilisation de ces clauses contractuelles étaient insuffisantes et que Google Analytics n’était toujours pas conforme au RGPD européen, en mettant en demeure un site web autrichien concerné de se mettre en conformité.

Dans le même temps, le 10 février 2022, la CNIL a mis en demeure un site internet français d'arrêter d'utiliser Google Analytics ou tout autre outil d'analyse et de mesure d'audience transférant des données personnelles outre-Atlantique, dans un délai de 30 jours.

2. Quelles données sont visées par la CNIL ?

L’usage de Google Analytics suppose l’envoi aux États-Unis de données individuelles et persistantes telles que : 

• l’identifiant du visiteur (identifiant du cookie visiteur Google Analytics, c’est-à-dire le “client ID” Google Analytics) ;
• pour les visiteurs s’étant authentifiés au site web à travers un compte utilisateur, un identifiant interne ;
• les identifiants de commande, le cas échéant ;
• les adresses IP.

La CNIL considère ainsi que Google Analytics ne garantit pas la protection des données personnelles des consommateurs européens.

À noter que cela s’applique également aux données personnelles collectées par des services connexes des sociétés américaines telles que Google Connect, Facebook Connect… qui transfèrent leurs données aux États-Unis.

3. Êtes-vous concernés par le communiqué de la CNIL ?

Pour l'instant, seuls les utilisateurs de Google Analytics semblent concernés, mais d'autres solutions appartenant à des sociétés établies aux États-Unis risquent d'être très prochainement également ciblées.

La CNIL n’a pas établi de liste d’éditeurs qui envoient les données personnelles aux États-Unis. Il vous appartient de discuter avec la CNIL et vos éditeurs étrangers pour vous assurer que vos données personnelles ne sont pas transmises aux US.

Les secteurs comme le retail, habitués à collecter et analyser des données personnelles pour personnaliser l’expérience consommateur, sont particulièrement attentifs à ces évolutions. Si leurs consommateurs sont globalement prêts à accepter un tracking qui permet d’améliorer les parcours d’achats, 67% d’entre eux émettent des craintes quant à la sécurité de leurs données personnelles (étude CITE Research).

II. Est-il possible de tracker en conformité avec le RGPD ?

1. L’identifiant personnel : la base de l’attribution multi-touch

L’attribution marketing vous permet de mesurer le rôle et l’impact de vos canaux médias au sein des parcours d’achats avant la conversion. Vous comprenez ainsi quel levier d’acquisition vous devriez activer ou favoriser, et comment optimiser vos investissements média.

Dans le cas où vous voulez simplement analyser statistiquement la performance de vos canaux, vous pouvez très bien continuer à utiliser le modèle last-clic. En revanche, dans le cas où vous avez besoin de suivre le parcours de chaque internaute, l’identifiant personnel est obligatoire. 

Vous saurez par exemple si la conversion pour un internaute donné a été initiée par un clic sur une campagne Facebook, puis influencée par la visualisation d’un spot TV, convertie par une recherche sur Google, etc. Par définition, vous devez être en mesure de savoir qu’il s’agit bien du même consommateur. 

Si pour vous rendre conforme au RGPD, vous anonymisez cet identifiant, vous perdez alors toute traçabilité qui, comme nous venons de le voir, est essentielle à la mesure de l’attribution.

La décision de la CNIL met donc vos équipes marketing face à la remise en question de leurs outils d'attribution.

2. Existe-t-il des solutions d’attribution RGPD compliant ?

Il existe sur le marché de nombreux outils tracking qui à la fois rendent possibles l’attribution marketing tout en restant conforme au RGPD.

En tant qu’acteur retail de premier plan, nous observons et anticipons chez Easyence les évolutions technologiques et réglementaires liées à ces sujets.

Ainsi, les solutions Easyence sont déjà prêtes pour vous permettre d’analyser et d’optimiser vos parcours d’achat en omnicanal.

Easyence propose son propre tracker qui effectue une collecte de données localisées en Europe, et donc conforme au RGPD.

Le tracker Easyence, déployé directement sur votre site, améliore considérablement le nombre de sessions identifiées et vous permet de bénéficier rapidement d'une solution d'attribution, totalement indépendante de votre outil d'analyse.

La solution Easyence Attribution est directement alimentée par les données collectées par vos outils, de ce fait, vous pouvez utiliser tout dispositif conforme au RGPD.

Nous sommes là pour accompagner nos clients et les acteurs du marché dans ces réflexions, et partageons une série de contenus pour éclaircir votre compréhension des enjeux données et privacy. Alors stay tuned 🙂