Alternative à Google Analytics : trouver une solution en phase avec le RGPD

Pourquoi Google Analytics a-t-il été mis en demeure par la CNIL ?

Rappel sur le RGPD

Le Règlement Général sur la Protection des Données désigne le contexte juridique posé par l’Union Européenne pour encadrer le traitement des données personnelles des internautes sur son territoire. Sur le territoire français, le RGPD vient compléter les principes légaux posés par la Loi Informatique et Libertés qui est en place depuis 1978.

Cette harmonisation des règles concerne tout autant les organisations qui sont établies sur le sol européen que celles dont l’activité cible les résidents européens. Le RGPD est particulièrement bénéfique pour les citoyens quant au contrôle qu’ils ont sur l’utilisation qui est faite de leurs données personnelle. Elle offre dans le même temps un cadre législatif unique pour les professionnels de tous secteurs, et se présente donc comme un excellent moyen de développer ses activités numériques tout en cultivant la confiance des utilisateurs.

Pour quelle raison Google Analytics est-il en infraction avec le RGPD ?

Tout commence avec une plainte déposée au mois de janvier 2021 par l’Organisation Non Gouvernementale NOYB (None Of Your Business). Celle-ci visait un site interne au Parlement européen, dédié à la prise de rendez-vous des employés pour les tests Covid-19. Ce site internet s’est vu reprocher le fait de transférer illégalement des données vers les États-Unis, ceci étant notamment lié à l’usage de Google Analytics. Ce transfert de données est vu d’un très mauvais œil à cause de la fuite de données en dehors du continent européen, mais surtout parce que ces dernières pourraient être récupérées par les services de renseignement américains.

C’est le 5 janvier de cette année que les choses se sont accélérées et que la plainte déposée par NOYB a porté ses fruits. Après avoir pris connaissance du dossier et avoir effectué les contrôles qui s’imposaient, le CEPD (Contrôleur Européen de la Protection des Données) a mis en demeure le Parlement afin qu’il mette en conformité les éléments constatés, jugeant que les mesures qui avaient été instaurées par Google Analytics étaient insuffisantes. Google ne proposant pas d’autre solution dans l’immédiat, une autre plateforme d’analyse d’audience devait donc être utilisée.

Il n’aura fallu que quelques jours à la CNIL pour emboîter le pas de la CEPD, puisque l’organisme français a également évoqué un risque de transfert illégal des données personnelles vers les États-Unis. Si Google ne fait pas le nécessaire pour mettre son outil en conformité, alors le repli sur d’autres solutions sera inévitable. Nombreux sont d’ailleurs les acteurs du digital à déjà chercher quel concurrent de Google Analytics sera le plus à même de le remplacer, et surtout d’offrir des fonctionnalités et des indicateurs aussi complets.

 

Trouver son alternative à Google Analytics

À ce jour, 18 solutions de collecte et d’analyse de données ont été identifiées par la CNIL comme pouvant « être configurées pour rentrer dans le périmètre de l’exemption au recueil de consentement », et sont donc officiellement en accord avec le RGPD. D’autres solutions peuvent également entrer dans ce périmètre, mais vont nécessiter l’affichage d’un bandeau d’acceptation des cookies. Nous avons retenu celles qui ont le plus suscité notre intérêt pour vous présenter leurs principales caractéristiques.

Matomo, l’alternative numéro 1 aux yeux des webmarketeurs français

Interface de Matomo dans sa version Démo

Anciennement connu sous le nom de Piwik, Matomo est déjà l’outil d’analyse le plus utilisé en France après Google Analytics. Il est disponible en open source, ce qui fait déjà une différence majeure avec Google, et peut être souscrit de deux manières :

– Il est possible de l’installer gratuitement sur un de ses serveurs, ce qui offre la possibilité de gérer l’intégralité de la collecte des données, mais aussi leur stockage, leur sécurisation et leur traitement.

– Une formule « Cloud » permet également d’être directement hébergé sur les serveurs de Matomo.

Dans les deux cas, ce qui fait la grande force de cet outil est que l’utilisateur reste entièrement maître de ses données, mais aussi qu’il peut être configuré facilement pour que toutes les données qui sont collectées soient anonymisées automatiquement, enlevant la nécessité de demander un consentement aux visiteurs du site. Un autre point différenciant face à Google Analytics est que Matomo ne fait pas d’échantillonnage, ce qui signifie que l’utilisateur a accès à la totalité de ses données et qu’il peut effectuer une analyse d’audience très précise.

L’outil n’est pas non plus en reste côté fonctionnalités. Bien entendu, un nombre plus ou moins important d’entre elles est accessible selon le forfait que vous choisissez ainsi que selon la méthode d’hébergement de vos données. Pour ceux qui souscriront la formule la plus complète, il sera possible d’accéder à une fonction de heatmap, à des analyses des sessions des utilisateurs, du tunnel de conversion ou des interactions avec les vidéos présentes sur votre site, ou encore de se connecter à la Search Console dans l’optique de récolter un maximum d’indicateurs de performance relatifs au référencement naturelLe référencement naturel est aussi nommé référencement organique ou SEO. Lire la définition complète.

Matomo ne peut cependant pas être absolument parfait, auquel cas il aurait déjà supplanté Google Analytics. Les mises à jour ne sont, en effet, ni nombreuses ni fréquentes, et les temps de chargement peuvent parfois se montrer particulièrement longs. Il faut aussi prendre en compte que la structure de configuration est relativement complexe, et que les données Google Ads devront être ramenées manuellement dans l’outil pour les versions gratuites ou moins chères. La version gratuite n’est d’ailleurs pas disponible si vous optez pour la formule « Cloud », c’est-à-dire sur les serveurs détenus par Matomo.

AT Internet, l’outil 100 % français

Interface d’Analytics Suite Delta

Bien qu’elle se soit récemment associée à une entreprise américaine du nom de Piano, la firme AT Internet comptait déjà plus de 20.000 clients avant cette fusion avec sa solution Analytics Suite. Cet outil, comme Matomo, figure sur la liste qui a été émise par la CNIL et qui signale qu’une exemption au recueil de consentement est possible. Il offre de nombreuses possibilités de mesure de l’audience et des performances, le tout en regroupant les données recueillies à la fois sur le site web, sur l’application et sur les réseaux sociaux.

En tant que solution payante, puisque l’abonnement coûte aux alentours de 300 euros par mois, Analytics Suite propose, par exemple, des solutions d’analyse de la navigation et de l’expérience utilisateur ou de nombreuses options de personnalisation. La gestion des données personnelles y est prise très au sérieux, puisque celles-ci sont exclusivement stockées sur des serveurs européens et sont traitées au sein de l’UE dans des infrastructures dédiées et sécurisées.

Un autre point fort d’AT Internet est associé à son engagement écologique et à sa volonté de s’inscrire dans les codes du développement durable. La construction technique de cet outil a été pensée pour limiter au maximum l’empreinte carbone, ce qui se matérialise par une minimisation des données collectées pour recueillir exclusivement celles qui ont un intérêt et éviter de dépenser de l’énergie inutilement. Dans la même logique, le stockage des données est d’une durée plus courte et est mutualisé, ce qui le rend moins énergivore.

Le problème d’Analytics Suite ? Il constitue un véritable outil haut de gamme, notamment par son prix, et s’avère donc difficile d’accès pour les petites entreprises et même pour la majorité des PME. Il n’existe même pas de version gratuite ou d’entrée de gamme, et cette solution sera donc davantage à conseiller aux structures importantes ou aux sites e-commerce qui sont déjà bien implantés.

Simple Analytics, pour une solution aussi éthique qu’accessible

Interface de Simple Analytics

À l’inverse d’Analytics Suite, Simple Analytics trouvera plus facilement preneur auprès des structures et des entreprises de taille moindre. Le mot d’ordre de cet outil est des plus simples : une transparence absolument garantie vis-à-vis des utilisateurs et des clients. Cette solution se positionne donc en opposition franche face au fonctionnement et à la politique de confidentialité de Google Analytics.

Les données qui sont collectées ne sont en aucun cas vendues, et sont même intégralement cryptées pour être rendues illisibles en cas de piratage. Il est même indiqué clairement par les éditeurs que vous êtes le propriétaire exclusif de ces données, ce qui inclut que vous avez la possibilité de les télécharger ou de les supprimer à n’importe quel moment.

Il faut cependant bien considérer que le nom de cet outil n’a pas été choisi par hasard, puisqu’il a été créé pour être particulièrement simple d’utilisation, et ainsi convenir aux professionnels qui ne sont pas vraiment à leur aise avec les nouvelles technologies et le marketing digital. Ce concurrent de Google Analytics ne permet de consulter que les principales statistiques d’audience avec le nombre de pages consultées et celles qui ont le plus de vues, le trafic en fonction des canaux, des pays, des navigateurs et des tailles d’écrans, mais aussi les sites web référents. Simple Analytics ne prend pas en considération les adresses IP et les cookies, et ne dépose aucun traceur sur les sites internet.

Pour synthétiser, cette solution d’analyse d’audience saura principalement trouver un écho favorable auprès des petites structures ou des entreprises qui ont des cellules digitales avec de petits moyens. Les tarifs restent relativement accessibles, avec un premier abonnement fixé à 19 US$ par mois, une formule plus complète à 59 US$ par mois, et la possibilité de réaliser un devis sur-mesure en cas de besoins plus importants. La connexion de Simple Analytics à votre site se fera ensuite très simplement, puisqu’il suffira d’y insérer un morceau de code comme pour Google Analytics.

Fathom, la solution non européenne, mais conforme au RGPD

Interface de Fathom Analytics

Bien qu’il ne figure pas dans la liste émise par la CNIL, Fathom Analytics est pourtant un outil qui est régulièrement cité lorsqu’on recherche une alternative à Google Analytics. Même si l’entreprise qui édite cette solution n’est pas européenne puisqu’elle est originaire du Canada, son outil est totalement conforme à la RGPD, car les données sont traitées sur des serveurs allemands, restent totalement anonymes, ne sont jamais revendues, et ne sont ni trackées ni stockées.

La vraie source de plus-value pour Fathom Analytics est qu’il a été conçu pour respecter l’intégralité des normes mondiales relatives au traitement des données des utilisateurs. Il n’y a cependant pas de version gratuite proposée, même si un essai de 7 jours est possible, ce qui permet à l’éditeur d’assumer ses coûts de fonctionnement et de rester fidèle à sa devise, à savoir « We sell software, not data » (Nous vendons des logiciels, pas des données).

Le tableau de bord est condensé en une unique interface, et seules les données d’audience essentielles y sont intégrées. Fathom vous permettra ainsi de consulter des indicateurs tels que le nombre de visites uniques, le nombre de pages vues et celles qui génèrent le plus de trafic, les canaux d’acquisition, ou encore le taux de rebond. Cette solution a tout de même une particularité qui pourra être un inconvénient pour certains, puisqu’elle est uniquement disponible en langue anglaise.

Du côté des tarifs, tout dépend de vos besoins et du nombre de pages que vous avez besoin que l’outil consulte. Le prix de base est de 14$ CA par mois pour 100.000 pages vues, et monte à 24 ou 34$ CA mensuels pour augmenter cette capacité d’analyse. Comme pour chaque concurrent de Google Analytics, il est néanmoins possible de bénéficier d’un devis sur-mesure, et d’opter pour des formules plus chères si votre site web comprend de nombreuses pages et génère un trafic important.

Conserver Google Analytics en configurant GA4 avec GTM server-side, c'est possible ?

Suite au tollé déclenché par la mise en demeure prononcée par le régulateur européen à l’encontre du Parlement, une solution se dessine pour continuer d’exploiter les données de Google Analytics tout en étant en accord avec la loi. Mais il faut d’abord comprendre précisément là où le bât blesse d’un point de vue technique pour avoir la certitude de réussir à se mettre dans le droit chemin.

Quels sont les éléments techniques qui rendent l’utilisation de Google Analytics non conforme au RGPD ?

Après que la CNIL s’est alignée sur la décision prise par la CEPD, nombreuses ont été les entreprises digitales françaises à tenter de modifier le paramétrage de Google Analytics pour le rendre conforme au RGPD, ceci en axant notamment leurs efforts sur le traitement de l’adresse IP. Pour autant, le législateur a considéré que ces mesures ne suffisaient pas pour garantir une pseudonymisation et un chiffrement des données, car celles-ci peuvent tout de même être transférées vers les États-Unis.

Le nœud du problème vient du fait que la pseudonymisation appliquée par Google permet tout de même de rendre les données collectées identifiables. La connexion HTTPS inclut un contact direct entre les navigateurs et les serveurs de la firme américaine, permettant ainsi d’accéder aux informations relatives à l’adresse IP et aux terminaux utilisés par les utilisateurs.

Pour régler cette problématique, la CNIL propose de procéder à une proxyfication. Cette méthode consiste à faire transiter les données par un serveur intermédiaire qui fera la passerelle entre les navigateurs des utilisateurs et les serveurs de Google. Mais ce n’est pas tout ! Ce serveur devra également respecter plusieurs règles, à savoir :

– Empêcher l’identification d’une personne qui visite un site internet.

– Bloquer la transmission de l’adresse IP aux serveurs Google Analytics.

– Crypter le Client ID, c’est-à-dire l’identifiant de l’utilisateur.

– Faire disparaître l’information relative au referer afin de ne pas avoir accès à la localisation de l’internaute.

– Effacer les paramètres qui sont intégrés dans les URLs collectées.

– Ne pas prendre en considération l’User ID, soit l’identifiant entre sites.

GTM Server Side, la solution de proxyfication compatible avec Google Analytics

Source : https://developers.google.com/tag-platform/tag-manager/server-side/intro

La méthode de collecte des données qui est aujourd’hui la plus largement utilisée est le « Client Side », ce qui signifie que les tags de vos fournisseurs de solutions d’analyse sont directement intégrés dans le code source de votre site internet. Cela signifie que c’est le navigateur de l’utilisateur qui génère des requêtes directement vers les serveurs de ces fournisseurs, et que ce sont ces derniers qui collectent les données et les traitent comme bon leur semble.

Avec l’approche « Server Side », ce procédé est largement remis en cause et permet de rendre Google Analytics 4 conforme au RGPD. L’idée est de souscrire un serveur que vous pourrez gérer et configurer et d’y déposer vos tags, ce qui évitera les ingérences sur les navigateurs des utilisateurs. En conséquence, ce serveur fera office de proxy, ou de passerelle tierce, entre les navigateurs et les serveurs des fournisseurs. Les données collectées sont ainsi intégralement contrôlées, et peuvent alors être totalement anonymisées avant d’être remontées dans vos outils d’analyse.

Même si cette solution semble plus complexe, elle n’est cependant pas des plus difficiles à mettre en place, et ne vous coûtera pas forcément plus cher que d’opter pour un concurrent de Google Analytics. Les professionnels qui font déjà usage de cette solution estiment que son coût mensuel est compris entre 20 et 200 €, ce dernier variant notamment en fonction de la complexité et du volume des données à traiter.

Il y a également d’autres avantages liés à l’utilisation de GTM Server-Side, puisque au-delà de la maîtrise des données, cela permet également :

– Une optimisation des temps de chargement, car les tags ne sollicitent plus les ressources internes aux navigateurs web.

– Une amélioration de l’UX (expérience utilisateur), ces mêmes tags pouvant générer des dysfonctionnements et des bugs des navigateurs.

– Une augmentation de la sécurité, puisque l’approche Server Side permet de bloquer le chargement des codes malveillants et des scripts tiers pouvant s’avérer nocifs.

– Une monopolisation moins importante et plus éthique des ressources des utilisateurs, les données étant collectées grâce aux ressources qui sont liées à votre serveur.

Bien sûr, tout n’est pas absolument idyllique pour autant, auquel cas votre solution de repli serait déjà toute trouvée ! L’usage de la méthode Server Side a, en effet, quelques inconvénients :

– Les internautes pourront avoir l’impression de perdre le contrôle sur leurs données, puisque l’usage d’un serveur personnel entraîne une exemption du contrôle des cookies par les navigateurs, et permet aussi de s’émanciper des bloqueurs de publicité.

– Vos obligations légales seront plus contraignantes, car vous devrez assumer la totale responsabilité de la conformité des cookies et du fait que vos prestataires et fournisseurs soient, eux aussi, en accord avec la loi.

– Vos campagnes webmarketing seront encore plus dépendantes des produits Google, tout en sachant que la défiance vis-à-vis du moteur de rechercheUn moteur de recherche est un outil permettant d’offrir des pistes de réponses aux questions… Lire la définition complète semble s’accroître au fil du temps.

– Tous les sites ne sont pas compatibles avec cette solution, et le fait de migrer son site actuel en Server Side demande un travail important, notamment au niveau du balisage.

Quelle que soit la solution pour laquelle vous opterez, il est en tous cas plus prudent de réagir assez rapidement si vous utilisez Google Analytics de façon conventionnelle avant de vous mettre en défaut vis-à-vis de la CNIL. Nos équipes de Zaacom se tiennent à l’écoute de vos besoins si vous souhaitez être accompagné dans la mise à jour ou le changement de votre outil d’analyse.