Les alternatives à Google Analytics se tiennent prêtes à prendre le relais
Les alternatives à Google Analytics pourraient avoir beaucoup à gagner si l'outil proposé par Google, dominant sur le marché, venait à ne plus pouvoir être utilisé dans l'UE, faute d'être en conformité avec les normes en matière de respect de la vie privée du bloc.
Les alternatives à Google Analytics pourraient avoir beaucoup à gagner si l’outil proposé par Google, dominant sur le marché, venait à ne plus pouvoir être utilisé dans l’UE, faute d’être en conformité avec les normes en matière de respect de la vie privée du bloc.
Qu’il s’agisse d’un simple moment de faiblesse ou de la mort inéluctable de Google Analytics en Europe, les alternatives à l’outil d’analyse de Google se réjouissent des décisions passées, ou à venir, des autorités de protection de données de l’UE.
La CNIL a été la dernière en date à juger que l’usage de Google Analytics, particulièrement en raison des transferts de données opérés par Google vers les États-Unis, était contraire au Règlement général sur la protection des données (RGPD).
En l’absence d’accord spécifique avec l’UE, les mesures supplémentaires apportées par Google pour encadrer ces transferts « ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données », a estimé l’autorité, près d’un mois après que son homologue autrichienne, la Datenschutzbehörde, est parvenue aux mêmes conclusions.
« Jusqu’à présent, les différentes décisions rendues dans l’UE ont été une excellente nouvelle pour nous », se réjouit Marko Saric, co-fondateur de Plausible Analytics, un outil d’analyse de l’audience web en open source, qui fonctionne sans cookie et dont les données sont stockées en Allemagne.
Une bonne nouvelle pour la concurrence puisque, en effet, Google Analytics occupe 86,5 % du marché en février 2022, selon les données de W3Techs.
Mais le vent tournerait déjà pour l’outil de Google. « Notre croissance est montée en flèche depuis la décision initiale de l’autorité autrichienne de protection des données », a confié le cofondateur de Fathom Analytics, Paul Jarvis, à EURACTIV. L’entreprise canadienne n’emploie pas de cookies et traite également les données de ses clients européens dans des serveurs européens.
Contactés par EURACTIV, plusieurs services d’analyse d’audience ont fait remarquer cette tendance, à l’instar de Matomo, dont le service est exempté par la CNIL de recueillir le consentement de l’utilisateur. « De nombreuses entreprises françaises cherchent à migrer leurs analyses web vers Matomo », a indiqué son fondateur, Matthieu Aubry.
La décision de la CNIL, rendue publique depuis l’annonce, a été prise dans le cadre de la « procédure de coopération » prévue par l’article 60 du RGPD, soit en consultation avec homologues européennes.
« Ce projet [de décision] n’a pas donné lieu à des objections pertinentes et motivées », relève l’autorité indépendante, ce qui laisse penser que des analyses similaires devraient être conduites un peu partout au sein de l’UE.
« Les préoccupations concernant la façon dont Google traite les données de ses clients ne datent pas d’hier, et ce n’est que la dernière preuve en date », explique en effet Trevor Kaufman, le PDG d’un autre outil d’analyse web, Piano, à EURACTIV. Selon lui, les décisions prises ces dernières semaines sont « tout à fait justifiées », même s’il aurait préféré qu’on s’attaque d’abord à véritablement réformer les grandes entreprises technologiques elles-mêmes avant de pénaliser les entreprises ayant recours à leurs services.
Google Analytics n’a pas dit son dernier mot
Est-ce pour autant la mort de Google Analytics en Europe ? « Dans l’état actuel des choses, peut-être oui, dans la mesure où il y a aujourd’hui un transfert de données de l’UE vers les États-Unis, sur la base de mesures techniques inefficaces pour la protection des données », décrypte l’avocat Alexandre Fievée du cabinet Derriennic pour EURACTIV.
« Il reste à voir ce qu’il en sera. Je serais surpris que cela ait autant d’effet, car soit Google va “contourner” les choses » en créant une offre européenne, en se battant devant les tribunaux ou grâce à un nouveau « Privacy Shield », selon Martin Tournoij de Goatcounter, une plateforme d’analyse en open source.
Au-delà du seul transfert outre-Atlantique, c’est la question de l’ingérence des autorités américaines dans les données traitées par leurs entreprises, peu importe où elles opèrent, qui avait motivé la Cour de justice de l’UE à invalider le précédent régime d’adéquation entre les deux continents, le « Privacy Shield ».
Il permettait, jusqu’en juillet 2020, aux entreprises américaines de s’affranchir de ces garanties supplémentaires.
Faute de percées dans les discussions autour du futur régime d’adéquation, « on pourrait envisager de nouvelles mesures techniques qui rendraient ce transfert légal », observe M. Fiévée.
Il pourrait s’agir, selon lui, de chiffrer les données traitées sur le sol américain sans que Google n’ait accès aux clés de déchiffrement ou de faire en sorte que ces données soient anonymisées.
Pour l’heure, les techniques de chiffrement dans ses centres de données et la pseudonymisation mises en avant par Google n’ont pas convaincu la CNIL. Dans sa délibération, elle notait que l’entreprise avait toujours la possibilité de fournir les clés de déchiffrement avec les données chiffrées si une autorité américaine le lui demandait et que la pseudonymisation, à elle seule, ne suffit pas.
Pour être conforme au RGPD, il faudrait pouvoir « garantir qu’aucune autorité publique américaine ne puisse accéder à des données en clair », résume Me Fievée.
Dernière option technique envisageable, recueillir un consentement spécifique de la part de l’utilisateur pour le transfert de ses données vers les États-Unis.
« Nous pensions que le premier à tomber serait un prestataire du secteur de la publicité, mais nous sommes heureux de constater que le régulateur a d’abord ciblé l’un des services qui achemine probablement la plus grande partie des données des citoyens européens vers les États-Unis », observe Maciej Zawadziński, le patron de Piwik Pro, une solution également retenue par la CNIL comme n’ayant pas besoin de recueil de consentement.
Google s’est, pour l’heure, montré très discret, sur le sujet. Contactée au moment de la décision de la CNIL par EURACTIV, l’entreprise n’avait pas souhaité communiquer, mais s’était contentée de rediriger vers deux billets de son blog, le premier réaffirmant leurs engagements en matière de respect de la vie privée et le deuxième soulignant le besoin d’une nouvelle décision d’adéquation.
