Dans quelle mesure Google Analytics 4 (GA4) est-il réellement respectueux de la vie privée ?

von Olaf Brandt

Google Analytics a été de facto interdit par les autorités de contrôle dans l’UE depuis décembre 2021. En réponse à cela, Google a annoncé plusieurs améliorations de la protection des données pour le nouveau Google Analytics 4, qui devraient être mises en œuvre d’ici fin mai 2022. Les adaptations sont expliquées par Google sous le point ”EU-focused data and privacy”. En résumé, il en résulte les changements suivants en matière de protection des données :

• GA4 traite toutes les données des terminaux situés dans l’UE sur des serveurs situés dans l’UE.
• GA4 traite les adresses IP à des fins de géolocalisation, mais ne stocke plus les adresses IP.
• GA4 permet de désactiver Google Signals afin d’empêcher l’association avec les comptes Google.
• GA4 permet de configurer la granularité des données géographiques et des données d’appareil collectées (par exemple, la résolution d’écran nécessitant un consentement).

Bien que ces mesures constituent un pas dans la bonne direction, elles sont totalement inutiles pour lever l’interdiction de l’UE et l’obligation générale de consentement. En y regardant de plus près, cela est clair et sans équivoque pour différentes raisons :

1. interdiction de transfert de données UE-US

En vertu du Patriot Act, du Foreign Intelligence Surveillance Act (FISA) et du Clarifying Lawful Overseas Use of Data Act (Cloud Act), les autorités américaines ont accès à absolument toutes les données des entreprises américaines. Et ce, même si elles sont conservées dans l’UE. Par conséquent, le fait que les données soient stockées dans l’UE ne résout pas le problème réel de la garantie du respect des droits fondamentaux des citoyens de l’UE, comme l’exige le RGPD de l’UE.

2. obligation de consentement selon la TTDSG : cookies & Co.

Par défaut, GA4 continue d’utiliser des cookies et de lire activement les données des terminaux.

Le mode de consentement ”analytics_storage” avec la valeur ”denied” permet certes d’empêcher l’installation de cookies, mais le suivi des conversions n’a alors pas lieu. En outre, l’évaluation de la résolution d’écran doit être désactivée, car elle est également considérée comme un accès au terminal nécessitant un consentement. Il n’est toutefois pas certain que cela empêche déjà la collecte. Par conséquent, même avec le mode de consentement approprié, l’accès au terminal de l’utilisateur avec consentement ne peut pas être exclu.

Une utilisation simple de GA4 sans aucun cookie et donc sans consentement est encore de la musique d’avenir.

3. obligation de consentement selon le RGPD de l’UE

Afin de pouvoir justifier l’utilisation de l’analyse web sans consentement dans le cadre d’une mise en balance des intérêts, les conditions suivantes doivent au moins être remplies (article 6, paragraphe 1, point f) du RGPD) :

• Conclusion d’un contrat AV avec pleins droits d’instruction et de contrôle du donneur d’ordre
• Réduction ou anonymisation de l’adresse IP avant le traitement proprement dit
• Exclusion de la possibilité d’identifier les utilisateurs
• Limitation de la reconnaissance à 24 heures maximum
• Pas d’utilisation des données à des fins personnelles de la part du processeur
• Pas de lien avec les données d’autres clients
• Pas de transmission des données à des tiers

Les autorités de surveillance prennent clairement position sur le traitement des commandes dans leurs instructions relatives à l’utilisation de Google Analytics. On peut y lire

”Selon les autorités de contrôle de la protection des données, le traitement lié à Google Analytics n’est pas un traitement de commande au sens de l’article 28 du RGPD”.

Pour cette seule raison, la mise en balance des intérêts lors de l’utilisation de GA4 doit toujours être en faveur des personnes concernées et nécessite donc un consentement.

4. les signaux Google

L’anonymisation automatique de l’adresse IP – malheureusement seulement après la géolocalisation – ne doit pas faire oublier que GA4 ne peut toujours collecter des données qu’après consentement. En effet, les identifiants en ligne et les données des appareils continuent à être transmis en clair. Il n’est pas du tout clair à quel niveau la désactivation des Google Signals intervient et si cela empêche réellement l’association avec les comptes Google et le profilage intersites.

Outre les points relatifs à la protection des données, il ne faut pas négliger l’impact considérable sur la fonctionnalité de GA4 de la désactivation de Google Signals.

La désactivation de Google Signals signifie

• Pas de listes de remarketing basées sur des données analytiques
• Aucune fonction de rapport publicitaire
• Pas de données sur la démographie et les intérêts
• Modélisation et rapports de conversion limités dans Google Ads

Conclusion

En fin de compte, les nouvelles mesures représentent un pas dans la bonne direction du point de vue de la protection des données. Toutefois, il est plus que douteux que les nouveautés soient suffisantes pour lever l’interdiction d’utilisation dans l’UE. Selon les experts, cela ne pourrait avoir lieu qu’à la fin de l’année au plus tôt, si l’UE et les États-Unis adoptent d’ici là le nouvel accord sur les transferts de données. Et jusqu’à présent, aucun projet final n’a été rédigé.

En outre, même si toutes les fonctionnalités ci-dessus sont activées, un consentement est toujours nécessaire pour traiter les données avec GA4. La désactivation de Google Signals n’entraîne pas seulement une perte de données, mais aussi une perte de valeur des données restantes, car de nombreuses fonctions de rapport sont supprimées. Parallèlement, il subsiste un risque juridique important, car il n’est pas clair à quel niveau les désactivations prennent effet. Dans le cadre du RGPD, c’est le traitement qui est décisif, et non pas seulement la création de rapports.

C’est pourquoi les entreprises doivent évaluer si le passage d’Universal Analytics à GA4 en vaut la peine et s’il n’est pas préférable de passer à une solution européenne qui ne dépend pas des accords UE-États-Unis ni du consentement des utilisateurs.

Vous pouvez télécharger le document complet ici.

---

Ce document ne constitue pas un conseil juridique et ne peut pas remplacer un conseil juridique individuel. Nous travaillons en étroite collaboration avec des avocats spécialisés dans la protection des données et nous vous mettrons volontiers en contact direct avec eux pour des consultations individuelles.