Analytics BlogMatomo vs Google Analytics : Quelle solution RGPD retenir ?

Matomo vs Google Analytics : Quelle solution RGPD retenir ?

Date de l’étude 22/07/2022 – les données et informations renseignées dans cet article sont susceptibles d’avoir changé.

9 sites sur 10 qui disposent d’un outil d’analyse statistique utilisent Google Analytics.

Si on ose aujourd’hui comparer la solution leader de Google à celle de son outsider Matomo, c’est que Google Analytics ne respecte pas le Règlement Général sur la Protection des Données (RGPD). Si vous utilisez encore aujourd’hui Google Analytics sans avoir réalisé un paramétrage pour le rendre conforme aux attentes de la CNIL, vous êtes dans l’illégalité !

Mais alors, que vaut la solution Matomo à côté de l’empirique Google Analytics ? Laquelle nous vous recommandons d’utiliser ? Devez-vous prendre au sérieux les menaces de la CNIL ? Pour tout savoir sur ces outils d’analyses et les enjeux autour du RGPD, découvrez ci-après notre comparatif.

google-analytics-vs-matomo

COMPARATIF RGPD

 Google Universal AnalyticsGA4 GA4 + paramétrage RGPD Matomo CloudMatomo auto-hébergement
  Respect du RGPD  ❌    ❌  ✅  ✅
  Hébergement des données❌  ❌   ✅
  Conservation des données minimum  ❌  ✅  ✅  ✅
  Consentement aux cookies Tracking simple  Obligatoire    Obligatoire  Non-obligatoire  Non-obligatoire  Non-obligatoire
  Consentement aux cookies Tracking poussé  Obligatoire    Obligatoire  Obligatoire  Obligatoire    Obligatoire  
Conservation des données Google Universal Analytics après juillet 2023  ❌    ❌  ❌  ✅

Matomo est-elle une solution conforme aux exigences de la CNIL ?

Oui. La CNIL affiche d’ailleurs la liste complète des autres outils de mesure d’audience qui répondent aux exigences du RGPD. 

Pour respecter le RGPD, il n’est cependant pas possible d’utiliser Matomo n’importe comment. La CNIL communique à ce sujet un guide de configuration de Matomo pour que le paramétrage de la solution respecte les attentes légales.

Google Analytics est-elle une solution conforme aux exigences de la CNIL ?

Pour répondre à cette question, il est important de différencier les 2 solutions Google Analytics existantes :

  • Google Universal Analytics (GA3) (ancienne version)
  • Google Analytics 4 (GA4) (nouvelle version)

Pour GA3 : c’est NON, la solution ne respecte pas le RGPD et ne le respectera jamais. C’est pour cette raison que Google se hâte depuis des années déjà pour lui trouver une remplaçante, en la solution de GA4.

Pour GA4 : c’est prévu … mais pas encore. Google y travaille de façon active, on peut s’attendre à ce que cette dernière puisse l’être d’ici les prochains mois. En attendant, si vous utilisez aujourd’hui la solution GA4 dans sa version de base, vous ne respectez pas le RGPD.

Note : Il est possible de rendre la solution GA4 RGPD par la mise en place d’un paramétrage spécifique. Comment et sous quelles conditions ? Nous le verrons plus tard dans l’article.

Rappelons que Google Universal Analytics (GA3) va disparaître* à compter du 1er juillet 2023 au profit de Google Analytics 4 (GA4). Si vous avez créé votre compte Google Analytics avant le 14 octobre 2020, vous disposez encore probablement de l’ancienne propriété GA3.

Si c’est votre cas, la question ne se pose pas : il vous faut absolument changer de solution, et le plus tôt sera le mieux !

DE L’EXPERT DE L’EXPERT LES TIPS LES TIPS
Nicolas Dupont Consultant SEO chez Zaacom
« Respecter le RGPD, c’est considérer les données personnelles de vos visiteurs. »

Pourquoi Google Analytics n’est plus conforme aux exigences de la CNIL ?

Jusqu’à l’été 2020, le transfert de données entre l’Union européenne et les États-Unis était encadré par un accord appelé Privacy Shield. Celui-ci permettait notamment aux entreprises implantées sur le sol américain de pouvoir récolter et héberger des données provenant d’utilisateurs européens. C’est ce que fait notamment Google au travers de sa solution Google Analytics.

Mais le 16 juillet 2020, la Cour de justice européenne a décrété que l’accord Privacy Shield n’apportait plus les garanties appropriées pour protéger les données personnelles des internautes européens. Moins de 1 mois plus tard, l’association NOYB dépose plusieurs plaintes auprès des autorités de protection des données européennes afin de dénoncer l’utilisation de Google Analytics sur des sites web. Comme la solution Google Analytics transfère ces données vers les États-Unis, elle rentre désormais en violation des articles 44 et suivants du RGPD.

Il aura fallu attendre jusqu’au 16 février 2022 pour que la CNIL condamne officiellement Google et sa solution Google Analytics, en déclarant comme illégale son utilisation par les sites web européens dans les mesures et conditions connues.

Mais ce n’est pas tout : en plus de ne pas satisfaire la CNIL en hébergeant des données d’Européens aux États-Unis, Google ne garantit pas l’anonymisation des données qu’elle récolte. Elle exploite notamment ces données pour améliorer la pertinence de ses publicités. Il faut le dire, pour nous les professionnels du web, ce n’est pas vraiment une surprise… Même si Google Analytics dispose d’un cadre de consentement, celui-ci ne se satisfait toujours pas aux exigences de la CNIL. Sans un paramétrage sur-mesure de la solution Google Analytics 4 pour la rendre compatible au RGPD, aucune autre alternative n’existe à ce jour si l’on veut rester fidèle aux solutions Google.

Que risque-t-on à utiliser Google Analytics tant que la solution n’est pas reconnue RGPD friendly ?

Tant que la situation perdure, un risque de sanction financière plane au-dessus de tous les sites utilisant Google Analytics dans sa version sans paramétrage RGPD.

Pour rappel, le montant des sanctions peut s’élever jusqu’à 4% du chiffre d’affaires annuel pour une entreprise, et jusqu’à 20 millions d’euros pour toute autre organisation.

Avant d’en arriver là, la CNIL remet préalablement une mise en demeure, un 1er avertissement qui laisse à votre site un délai de 1 mois pour rentrer en conformité avec les exigences du RGPD.

Pourquoi de nombreux sites web maintiennent Google Analytics malgré les risques ?

Concernant Google Analytics 3 et Google Analytics 4 dans leur version native :

L’espoir que Google Analytics redevienne prochainement RGPD Friendly

Il n’y a plus aucun doute quant au fait que la solution Google Universal Analytics (GA3) ne pourra jamais remplir les prérequis RGPD attendus par la CNIL. Et pour cause : la technologie sur laquelle s’appuie Google Universal Analytics ne permet pas d’anonymiser l’adresse IP de l’internaute sans l’héberger d’abord en dehors de l’Union européenne.

C’est pourquoi Google avance depuis quelques années déjà à l’amélioration et à l’accessibilité de sa solution de remplacement Google Analytics 4 (GA4), qui est capable d’anonymiser les IP.

Déclaration de Google du 16 mars 2022 à ce sujet :

« Google Analytics 4 est conçu avec la confidentialité pour offrir une meilleure expérience à la fois à nos clients et à leurs utilisateurs. Il aide les entreprises à répondre à l’évolution des besoins et des attentes des utilisateurs, avec des contrôles plus complets et granulaires pour la collecte et l’utilisation des données. Il est important de noter que Google Analytics 4 ne stockera plus non plus les adresses IP. »

Traduction française des déclarations en anglais.

Sauf qu’à ce jour, la solution remplaçante Google Analytics 4 (GA4) ne respecte toujours pas le RGPD. Google y travaille de façon active, et on peut s’attendre à ce que dans les prochains mois, une solution soit enfin trouvée pour que GA4 respecte le règlement RGPD. Alors forcément : l’outil est apprécié des professionnels qui l’utilisent, elle est gratuite… La tentation de maintenir la solution est importante.

On le sait de toute façon : soit Google s’adaptera à la législation, soit c’est la législation qui s’adaptera au profit de Google. Quand on sait qu’un accord de principe a été trouvé entre les États-Unis et l’Europe pour succéder à l’ancien accord « Privacy Shield », à l’origine du blocage RGPD de Google Analytics, on peut s’attendre à quelques surprises.

La méconnaissance des règles RGPD et des risques

L’inaction va naturellement de pair avec la méconnaissance. Sachant que la solution Google Analytics est la plus populaire du marché et satisfait le plus grand nombre : pourquoi changer, si on ne sait rien des enjeux RGPD qui se jouent ?

Cela explique pourquoi des sites web qui ne sont pas à jour des dernières règlementations RGPD n’ont pas encore agi pour se plier aux exigences de la CNIL. C’est particulièrement vrai pour les utilisateurs qui se servent encore aujourd’hui de la solution GA3. Pourtant, voici au moins deux bonnes raisons de s’intéresser aux enjeux du RGPD :

Pour les risques encourus. Avec les années, La CNIL gagne en force de répression, en mettant de plus en plus de sites en demeure pour le non-respect du RGPD. Se faire épingler si l’on ne respecte pas les règlementations en vigueur, ce n’est qu’une question de temps. A voir si Google Analytics 4 sera RGPD avant.

Pour le respect de ses utilisateurs. S’engager à respecter le RGPD pour garantir que les données personnelles de ses visiteurs ne soient pas exploitées n’importe comment et par n’importe qui : c’est un argument qui devrait se suffire à lui-même pour convaincre !

Concernant Google Analytics 4 dans sa version paramétrée pour le RGPD

Continuer l’aventure avec Google Analytics 4 dans sa version respectueuse du RGPD

Si autant de professionnels du Web tiennent à maintenir Google Analytics 4, c’est avant tout pour tous les avantages que la solution présente. On parle ici de l’outil de mesure d’audience le plus populaire du marché, développé par Google, permettant de faire de l’analyse de données poussée. Google accompagne depuis des années déjà des millions de site dans le développement de leur stratégie web. Pas étonnant donc que la majorité des professionnels du Web préfèrent aujourd’hui maintenir la solution qu’ils connaissent et utilisent au quotidien…

Mais alors, peut-on garder Google Analytics 4 tout en répondant aux exigences de la CNIL ? Oui. Pour se faire, il est nécessaire de mettre en place un paramétrage qui va venir compenser les manquements RGPD actuels de GA4.

Cela se traduit par la mise en place d’un serveur de proxyfication, qui va permettre d’anonymiser les données de GA4 avant envoi aux serveurs des États-Unis de Google. Grâce à une telle intervention, il est possible de poursuivre l’aventure Google Analytics tout en respectant le RGPD.

Il est bon de notifier que cela à un coût. Pour en savoir plus sur la mise en place d’un paramétrage RGPD sur Google Analytics, n’hésitez pas nous contacter.

SORTEZ DU LOT !
Nos consultants sont à votre écoute pour vous aider à choisir entre GA4 et Matomo

Hébergement des données

Où et comment héberger des données sensibles, c’est un sujet déterminant dans le cadre du respect du RGPD.

Les offres de Googles Analytics 3 et 4 proposent chacune un hébergement aux États-Unis. Quand on sait que les informations personnelles des utilisateurs stockées aux États-Unis ne sont pas suffisamment protégées des services de renseignements américains, on comprend pourquoi la CNIL refuse de rendre RGPD des solutions qui envoient des données non anonymisées aux USA.

Google Analytics 4 dans sa version paramétrée pour le RGPD permet d’anonymiser les données sensibles avant que ces dernières se retrouvent sur les serveurs de Google. Contrat rempli donc.

Matomo propose dans sa version Cloud un hébergement européen, ce qui est un vrai plus. Contrairement à Google Analytics, pas besoin d’anonymiser des données sensibles puisque ces dernières sont stockées en Europe.

L’autre offre de Matomo qui concerne de l’auto-hébergement, offre donc la possibilité de choisir l’hébergement. Tant que votre choix se porte sur un pays de l’Union européenne, la case RGPD est cochée.

Conservation des données minimum

L’obligation pour un site de fixer une durée de conservation limitée des données personnelles est prévue par le RGPD. Pour rappel, le consentement doit de nouveau être demandé aux utilisateurs pour le traitement des cookies tous les 13 mois au maximum.

Pour Google Analytics 3, le préréglage est fixé à 24 mois. Un réglage manuel permet de descendre jusqu’à 14 mois, ce qui ne correspond toujours pas à la réglementation RGPD.

google analytics universal - GA3 - durée conservation des données RGPD

Pour Google Analytics 4, le préréglage est fixé à 2 mois dès sa version native, ce qui correspond aux attentes de la CNIL.

google analytics 4 - GA4 - durée conservation des données RGPD

Les solutions de Matomo respectent également le RGPD, en proposant de paramétrer un temps la conservation de données en fonction de vos attentes.

Consentement aux cookies pour tracking simple et tracking poussé

Le RGPD impose aux éditeurs de sites d’obtenir le consentement des internautes quand ces derniers veulent exploiter des données personnelles sensibles. Comment ? Par l’affichage d’une pop-up / bannière qui offre la possibilité aux internautes d’accepter ou de refuser que le site exploite leurs données.

Exemple de pop-up :

cookies RGPD exemple pop-up

Dans quel cas pouvez-vous ne pas afficher cette bannière sur votre site, responsable d’une perte parfois importante de suivi de votre trafic ?

Pour un tracking simple (pages vues, nombre de visiteurs, taux de rebond, source de trafic, etc.), seules les solutions de Matomo et de Google Analytics 4 (avec un paramétrage spécifique) vous permettent chacune de tracker vos internautes sans avoir à demander leur consentement, tout en respectant le RGPD. Comment ? En ne récoltant que des données dites « non sensibles », qui ne permettent pas d’associer des visiteurs à leur comportement. Evidemment, le suivi est alors limité, très limité. Difficile de tirer de grandes analyses des comportements des internautes, et même impossible d’effectuer certains suivis. Les campagnes de référencement SEA sont notamment concernées.

Pour un tracking poussé (conversion des campagnes publicitaires Google AdWords, performance des réseaux sociaux, comportement des visiteurs, analyse du trafic poussée), aucune solution ne peut vous exempter de bannière de cookie pour respecter le RGPD. Pourquoi ? Parce qu’un tracking poussé nécessite forcément de récolter des données sensibles, pour lesquelles un consentement de l’internaute est obligatoire. Cela concerne autant le référencement naturel que les campagnes AdWords.

Conclusion : Si vous voulez avoir un suivi précis de vos conversions et de vos performances ou que vous souhaitez établir des personas précis de vos utilisateurs, vous n’aurez d’autre choix que de mettre en place sur votre site une bannière pour validation de cookies. Dans le cas contraire, Matomo et GA4 doivent être bien paramétrés pour permettre de concilier tracking sans bannière et RGPD.

Conservation des données Google Universal Analytics après juillet 2023

Si vous décidez de basculer pour une autre solution analytique que GA3 : que deviendront vos anciennes données ?

En passant par la solution GA4 ou la solution Matomo Cloud, vous ne pourrez pas récupérer toutes vos anciennes données de GA3. En d’autres termes, pas de comparatif possible entre GA3 et votre nouvelle solution. Seule la solution de Matomo en auto-hébergement permet de conserver une continuité des données précédemment récoltées par Google Analytics 3.

COMPARATIF SIMPLICITÉ

 Google Universal AnalyticsGA4 GA4 + paramétrage RGPDMatomo CloudMatomo auto-hébergement
  Facile à mettre en place  ✅    ✅  ✅  ✅  ❌
  Interface visuelle / graphique    ✅    ✅  ✅  ❌    ❌
Export des données vers solutions de reporting  ✅    ✅  ✅  ❌  ✅  
  Fonctionne sur les CMS  ✅    ✅    ✅    ✅    ✅  

Nous vous proposons ci-dessous une visualisation des 3 principales interfaces des solutions Matomo, Google Analytics Universal et Google Analytics 4 (GA4) :

Interface Matomo

interface solution analytic matomo

Interface Google Analytics Universal :

interface google analytics 3- GA3

Interface Google Analytics 4 (GA4) :

interface google analytics 4- GA4

Chaque tableau de bord permet de retrouver les KPI essentiels à l’analyse d’audience : nombre de visites (utilisateurs et sessions), taux de rebond, durée des sessions, sources de trafic, localisation, etc.

En parcourant les différentes fonctionnalités, vous pouvez retrouver simplement de nombreux autres indicateurs clés : taux de conversion e-commerce, tunnel de conversion, segments pour mesurer l’audience, etc.

De notre opinion et de toutes celles des professionnels avec lesquels nous avons pu échanger à ce sujet, Matomo présente à ce jour une interface visuelle en dessous de celle proposée par Google Analytics (et de beaucoup d’autres solutions de suivi analytique).

La prise en main de Matomo ne se fait pas aussi facilement que pour d’autres solutions comme Google Analytics. C’est moins « beau », moins « pratique », disons que l’expérience moins didactique. L’option « changer la visualisation » que l’on retrouve sous certains blocs de données de Matomo ne suffit pas à mettre les deux solutions au même niveau. Les rapports générés depuis Matomo présentent la même faiblesse.

Soyons clair, Matomo présente toutes les données intéressantes attendues ! C’est sur l’expérience de sa solution qu’elle peut encore s’améliorer.

COMPARATIF DES TARIFS

 Google Universal AnalyticsGA4GA4 + paramétrage RGPDMatomo CloudMatomo auto-hébergement
  Formule gratuite  ✅    ✅    ❌  ❌  ❌
  Formule payante  A partir de 8500€ / mois (version 360) 
A partir de 8500€ / mois (version 360)
A partir de 200 € / mois A partir de 19 € / mois Hébergement + options (variable)

Si c’est gratuit, ce n’est pas RGPD. Matomo et Google Analytics 4 avec paramétrage RGPD sont les seules solutions qui permettent de remplir le cahier des charges imposé par le RGPD.

En l’état, seule la solution GA4 dans sa version native peut prétendre à l’avenir proposer une solution de tracking à la fois gratuite et RGPD. Mais attention, ce n’est toujours pas fait.

Google Analytics VS Matomo : qui remporte la bataille ?

En l’état …

Google Analytics 3 est hors compétition, puisque l’ancienne solution de Google ne respectera jamais le RGPD et disparaîtra prochainement. Si vous n’utilisez que cette solution aujourd’hui, vous devez prévoir de changer rapidement.

Google Analytics 4 , dans sa version de base, ne respecte pas encore le RGPD. Quand la solution de Google respectera les exigences de la CNIL ? Personne ne le sait.

Dans ce duel Matomo vs Google Analytics, seul GA4 présente une solution gratuite. Si vous ne voulez pas investir pour passer à une solution RGPD, Alors GA4 remporte le duel. Mais cela veut dire que vous prenez le risque d’une mise en demeure de la CNIL, en attendant que Google rende sa solution RGPD.

Si vous voulez vous conformer rapidement aux règlementations en vigueur imposées par la CNIL, voici les deux meilleures options qui s’offrent à vous :

  • Basculer sur la solution Matomo
  • Basculer sur la solution Google Analytics 4 avec paramétrage RGPD

Tant que Google Analytics 4 ne rentrera pas dans les clous du RGPD, l’outil laissera s’échapper des utilisateurs au profit d’autres solutions analytiques tierces qui respectent le RGPD.

Dans un avenir proche …

Si Google Analytics 4 parvient à respecter le RGPD, alors elle gagnera le duel face aux solutions de Matomo. Pas parce que Matomo est une solution « moins bien », car elle présente de bons arguments. Mais la réalité est la suivante : Google Analytics reste un produit Google, qui marque naturellement des points au niveau de la confiance et de la fiabilité. Difficile également de rivaliser avec une solution gratuite proposant de très nombreuses options de suivi. Un produit connu de tous les professionnels du secteur, dont la prise en main facilite les analyses et les interprétations statistiques.

Notre recommandation …

La législation ne cesse d’évoluer, et peut-être qu’à la lecture de cet article de nouveaux éléments auront encore changé la donne. Ne tranchez pas arbitrairement entre Google Analytics et Matomo ! Bénéficiez au préalable d’un accompagnement sur-mesure dans le choix et la mise en place de votre solution analytique, qu’elle soit gratuite ou payante. Pour ce faire, n’hésitez pas à prendre contact avec nos experts Analytics.

À LIRE AUSSI SUR LE BLOG
Comprendre le référencement SEO on-site
article rédigé par Nicolas DUPONT Consultant SEO voir tous les articles

Commentaire