Article paru dans la Newsletter de juin 2023 – par Romain Trublard
Comme vous le savez sans doute, la CNIL avait déclaré non conforme l’utilisation de Google Analytics 4 en février 2022. Cette décision avait entrainé plusieurs mises en demeure de cesser d’utiliser l’outil de web analytics. Suite à cela de nombreuses entreprises avaient fait le choix de la proxyfication dans le but de rester dans un environnement Google ou de le quitter en partant chez Piwik Pro, Matomo ou encore Piano Analytics.
Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation concernant le nouveau cadre de protection des données UE – États-Unis. Cette nouvelle décision conclut que les États-Unis garantissent désormais un niveau de protection adéquat et comparable à celui de l’Union européenne pour les données à caractère personnel transférées de l’UE vers des entreprises américaines participant à ce cadre.
En complément, le 24 juillet 2023 a été publiée la liste des entreprises jugées conformes et entrant dans ce nouveau Data Privacy Framework. Sont notamment inclus Google, Adobe, Meta, Amplitude, Saleforces. Les marketeurs et les DPO peuvent-ils alors enfin dormir sur leurs deux oreilles ? Pas vraiment.
L’association Noyb, dirigée par Max Schrems, a exprimé son désaccord avec cette décision et a annoncé son intention de contester ce nouvel accord devant la Cour de justice européenne. Selon Noyb, le nouveau Trans-Atlantic Data Privacy Framework est largement similaire au précédent « Privacy Shield », qui avait déjà été invalidé par la Cour de justice de l’Union européenne dans l’affaire « Schrems II ».
On comprend donc que cet accord pour une nouvelle fois est précaire et connaitre ainsi le même destin que son prédécesseur. Rien de plus frustrant alors que les acteurs du web ont justement besoin de stabilité après presque deux ans de flou avec GA4 cumulé avec la fin d’Universal Analytics et celle à venir des cookies tiers en 2024.
C’est pourquoi, je ne peux que conseiller de faire preuve de mesure quant à cette annonce. Certes, cet accord transatlantique permet d’éloigner les risques de mise en demeure, mais si pour une fois nous faisions tous preuve de responsabilité et d’anticipation.
La bonne solution pourrait alors être de continuer à utiliser l’outil de webanalyse de Google Analytics, tout en contrôlant et en modifiant certaines données envoyées (inutilement). Par exemple pourquoi ne pas empêcher le transfert de l’adresse IP de l’utilisateur ainsi que ces données matérielles permettant à Google de faire du fingerpriting ?
Chaque entreprise pourra ainsi adapter les données qu’elle décide de récolter en fonction de ces besoins en prenant le soin de ne pas envoyer sur les serveurs américains de Google celles qui ne lui servent pas.
Quoi qu’il en soit on respire. La suite au prochain épisode !