Consentement cookies analytics
Portrait Olivier Duffez

Olivier Duffez

Créateur de WebRankInfo,
consultant en référencement

Google Analytics et le consentement des cookies

RGPD : on fait le point sur Google Analytics… Comment éviter le consentement pour les cookies ? Qu’est-ce que le Consent Mode ? Et GA4 ? Ou Matomo ?

Cet article fait partie de mon dossier sur la gestion du consentement des cookies. Voici la liste des articles :

Si vous avez besoin d’un accompagnement par un professionnel spécialiste du RGPD et des données personnelles, contactez-moi.

Sommaire :

C’est parti !

Existe-t-il une version de Google Analytics sans consentement ?

Question :

Google Analytics est majoritairement adopté par les éditeurs : Google a-t-il prévu une version exemptée de consentement, même payante ? Est-il possible, côté éditeur, de configurer Google Analytics de façon à le rendre exempté de consentement, quitte à recevoir moins d’informations ?

Axeptio :

La réponse étant très longue, nous l’avons détaillée sur notre site.

ConsentManager :

Il y a de gros problèmes de confidentialité avec Google Analytics :

  • Google est une société américaine, ce qui interdit de leur transmettre des données personnelles. En effet, l’arrêt « Schrems 2 » de la Cour de Justice de l’Union Européenne (CJUE) considère que la législation américaine ne protège pas suffisamment les données personnelles des européens et interdit le transfert de données personnelles vers les USA.
  • Google utilise les données collectées pour son propre usage, ce qui sera interdit par la directive ePrivacy.
  • Google collecte beaucoup plus de données que nécessaire et les combine avec des données de ciblage publicitaire. Google Analytics offre des fonctions comme le « consent mode » qui permettent aux éditeurs de demander à Google de limiter le tracking et de ne pas définir de cookies, mais cela ne règle pas tous les problèmes (par exemple, que Google est une société américaine).

SFBX :

Les versions actuelles de Google Analytics sont totalement exclues de l’exemption même si vous les configurez strictement de manière à restreindre la collecte des données au stricte nécessaire. En effet, Google se sert également de Google Analytics pour collecter des données pour ses propres besoins d’amélioration de services. Ces usages sont indiqués dans le contrat et les conditions d’utilisation du produit signés par leurs clients. Dans leurs conditions d’utilisation, il est indiqué « Sous réserve des conditions de ses règles de confidentialité, Google (et ses filiales détenues à 100 %) peuvent conserver et utiliser les informations recueillies lors de Votre utilisation du Service. »

Les informations recueillies par ces cookies ne servent donc pas à mesurer uniquement l’audience du site de l’éditeur. Tant que cet usage est toujours d’actualité dans le produit Google, et indiqué dans le contrat et les TOU, il ne pourra pas être exempté.

C’est également le cas pour les produits Facebook Analytics et Quantcast Analytics par exemple.

Sirdata :

L’article 7 de leurs CGV traite une partie de la question, puisqu’il est précisé que « Vous devrez mettre en œuvre tous les efforts commercialement raisonnables pour Vous assurer qu’un Utilisateur reçoit des informations claires et complètes concernant le stockage et l’utilisation des cookies ou de toute autre donnée sur son appareil, et les accepte, en cas d’activité en rapport avec le Service, et lorsque l’envoi de telles informations et l’obtention d’un tel contenu sont exigés par la loi. »

Ainsi, nous vous recommandons de conditionner vos tags Google Analytics à l’obtention d’un consentement préalable ou d’entrer en contact avec leur support pour obtenir confirmation que vous utilisez un tag n’utilisant pas de cookies ou exempté de consentement.

Didomi :

Google Analytics n’est pas exempté de consentement dans sa version actuelle.

Consentement pour Google Analytics GA4

Question :

Les nouvelles fonctionnalités de GA4 sont-elles adaptées à cette nouvelle réglementation (la documentation est assez floue pour le moment) ?

Sirdata :

Pour ce qui concerne GA4, la fonctionnalité propose notamment un analytics cross-device et cross-plateforme qui nous semblent incompatibles avec les critères d’exemption de la mesure d’audience détaillés aux articles 50 à 52 des Ligne Directrices de la CNIL (voir PDF). Donc nous vous invitons à entrer en contact avec eux pour vérifier que cette fonctionnalité ne repose pas sur des cookies ou équivalent.

Axeptio :

Pour GA4, la CNIL ne s’est pas encore positionnée.

Question :

Le Consent Mode actuellement en bêta permet-il de passer outre l’interdiction de tracking en envoyant des ping strictement anonymes à Google Analytics ? Les docs sur le sujet ne sont pas toujours claires. « Les pings sans cookie sont envoyés à Google Analytics à des fins de mesure et de modélisation de base. »

SFBX :

D’après nos premiers tests et informations recueillies auprès de Google, le Google consent Mode permet de contrôler directement le dépôt de cookies analytics et marketing avant le consentement. Dans ce mode, GA ne dépose pas de cookies ou autre traceur tant qu’il n’a pas le consentement. A la place il envoie des informations anonymes, qui seront agrégées afin de venir compléter les données deterministiques collectées sur la part d’utilisateur ayant acceptée le dépôt de cookies et les finalités déclarées par les produits Google. Si après le 01/04/2021 vous avez 70% de taux de consentement, Google déduira de façon probabiliste le comportement des 30% d’audience sans consentement via les données anonymes.

Sirdata :

Le Consent Mode est particulièrement utile pour les sites équipés d’une CMP non compatible avec le TCF V2. La nouvelle version de la CMP de Sirdata, en place à partir du 1er avril 2021, a été soumise à l’IAB Europe et validée. Elle embarque nativement une autre option de compatibilité avec Google Analytics, dédiée à la collaboration via le TCF. Il vous suffit de l’activer dans votre console de paramétrage de notre CMP dans la section « Configuration -> Editer l’affichage -> Paramètres avancés -> Extensions -> Compatibilité Google Ads/Analytics/Tag Manager ».

Didomi :

Même avec Google Consent Mode, il n’y a pas d’exemption du consentement au sens de la CNIL.

Axeptio :

Oui, c’est bien le cas : nous le détaillons ici.

ConsentManager :

Pour les raisons indiquées précédemment, nous déconseillons l’utilisation de Google Analytics sans consentement, même avec le consent mode activé.

Si vous avez des questions sur cette partie (Analytics), posez-les dans cette discussion du forum : Gestion du consentement des cookies pour Analytics.

Quels outils de web analytics sont exemptés de consentement par la CNIL ?

Voici la liste officielle fournie par la CNIL :

  • Analytics Suite Delta de AT Internet (version disponible à la date du 30 mars 2021)
  • SmartProfile de Net Solution Partner (version 21)
  • Wysistat Business de Wysistat (version 12.1)
  • Piwik PRO Analytics Suite de Piwik PRO (version 15.2.0)
  • Abla Analytics de Astra Porta (version 1.9)
  • BEYABLE Analytics de BEYABLE (version 1.0)
  • etracker Analytics (Basic, Pro, Entreprise) de etracker (version disponible à la date du 4 août 2021)
  • Retency Web Audience de Retency (version 1.0)
  • Nonli de Nonli (version 2.0)
  • CS Digital de Contentsquare (version 10)
  • Matomo Analytics de Matomo (version 4)

Cette liste est à jour au 12/10/2021 (source).

Matomo est-il exempté de consentement ?

Note : les réponses ci-dessous sont antérieures à la publication par la CNIL de la liste des solutions exemptées de consentement préalable.

Question

Il se dit depuis 2018 que Matomo peut être rendu compatible avec une utilisation qui ne nécessite pas le consentement de l’utilisateur, contrairement à Google Analytics. Qu’en est-il vraiment aujourd’hui ? Quelles sont les alternatives à Google Analytics mais RGPD friendly ?

Sirdata :

La CNIL ne s’est pas encore prononcée sur cette question, mais ne devrait pas tarder à le faire : elle a entamé une démarche d’évaluation pour vérifier si une solution de mesure d’audience est effectivement exemptée de recueil du consentement préalable de l’utilisateur en application de l’article 82 de la loi Informatique et libertés tel qu’interprété par ses lignes directrices du 1e octobre 2020. Les solutions retenus et les guides de configuration seront listés sur la page dédiée sur le site de la CNIL.

Didomi :

A notre connaissance, rares sont les acteurs exemptés de consentement pour leurs solutions d’analytics. Parmi celles-ci, il y a AT Internet, entreprise d’origine française rachetée en 2021 par un acteur américain, Piano. Consultez un cas d’usage de leur solution, avec le témoignage d’une cliente.

Axeptio :

Les alternatives à Google Analytics à étudier sont par exemple Plausible, Matomo, Fathom ou AT Internet.

ConsentManager :

Voir plus haut. Actuellement, le RGPD n’autorise pas l’utilisation d’outils de suivi ou analytics sans consentement. La directive ePrivacy en préparation devrait offrir des dérogations autorisant les analyses par l’éditeur lui-même, avec des limites très strictes. Dans ce cas, les outils d’analyses ne devront pas transférer les données collectées à des tiers. Il nous semble que Matomo (ex-Piwik) et etracker pourraient alors être des alternatives conformes, à condition d’être utilisées de façon correcte.

SFBX :

La CNIL indique dans ses recommandations que la mesure d’audience peut être, dans une certaine limite, considérée comme strictement nécessaire au fonctionnement du site et donc être exemptée du recueil de consentement. Pour cela, elle rappelle que les traceurs doivent :

  • être strictement limités à la seule mesure d’audience sur le site pour le compte exclusif de l’éditeur ;
  • servir uniquement à produire des données statistiques anonymes ;
  • ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
  • ne pas permettre le recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers.
    Vous devez donc vérifier dans le contrat, les conditions d’utilisation et la politique de confidentialité de la solution que vous utilisez ou que vous souhaitez utiliser si ces critères sont respectés.
    Vous devrez également être attentifs aux potentiels transferts de données hors de l’Union européenne qui pourraient être effectués par votre fournisseur de solution de mesure d’audience.

Consciente de la difficulté à identifier les solutions correspondantes, la CNIL a lancé un programme afin d’identifier les solutions pouvant être configurées pour rentrer dans le périmètre de l’exemption.

Matomo propose des solutions et des configurations qui vous permettent de ne pas avoir besoin de demander le consentement.

AT Internet propose également des produits et des configurations permettant d’obtenir cette exemption.

Consentement cookies analytics
Consentement cookies : Google Analytics, Matomo, AT Internet…

Les web analytics encore utiles à l’avenir ?

Question :

Les solutions comme Google Analytics sont elles encore utiles si les utilisateurs finissent par ne plus vouloir être tracés ?

Didomi :

Si tout le monde refuse, il est vrai que l’utilité de ce type de services diminue considérablement. Mais il sera toujours possible d’avoir des mesures globales sur des bassins d’audience, sur des cohortes anonymisées, ou sur les pages les plus vues (sans pouvoir pour autant identifier le parcours de chaque utilisateurs, celui-ci reposant sur le dépôt et la lecture d’un cookie, qui sera impossible sans consentement).

Et puis, il ne faut pas oublier qu’il y aura toujours une audience consentie, puisque certains accepteront d’être tracés ou identifiés, particulièrement s’ils font confiance au site sur lequel ils se rendent. Il faudra simplement considérer cette audience consentie comme non-représentative de votre audience globale, et trouver d’autres moyens pour avoir une vue sur la performance de vos sites et applications.

Axeptio :

C’est une bonne question. Avec Google G4 et le Google Consent Mode, Google sauve un peu ses fesses sur la mesure d’audience…

ConsentManager :

La plupart des utilisateurs acceptent tous les cookies ou refusent tous les cookies. Il est peu probable que les utilisateurs qui refusent d’être tracés acceptent Google Analytics et pas les autres cookies. Donc non.

SFBX :

Tout dépend de l’usage que vous faites de Google Analytics. Si vous utilisez cette solution de mesure d’audience uniquement pour mesurer le trafic agrégé du site, sans suivi individuel des parcours de navigation, vous pouvez trouver des solutions alternatives qui permettront que les cookies associés n’aient pas à faire l’objet d’un consentement préalable de la part de vos visiteurs comme vu ci-dessus. Il suffira de les informer de la finalité des cookies déposés.

Pour des usages plus avancés, le Google Consent Mode est une piste sérieuse qui devrait permettre de trouver un compromis entre respect de la vie privée et efficacité.

Sirdata :

Le régulateur considère qu’évaluer et anticiper le trafic permet de calibrer l’infrastructure nécessaire à maintenir le site live par exemple. Donc il existera toujours des services exemptés de consentement qui permettront de mesurer ce qui est directement nécessaire à fournir le service demandé par l’utilisateur. La publicité n’étant pas strictement nécessaire (par le revenu qu’elle procure), malheureusement, un cookie de capping par exemple n’est pas et ne sera jamais exempté.

Si vous avez des questions sur cette partie (Analytics), posez-les dans cette discussion du forum : Gestion du consentement des cookies pour Analytics.

Cet article vous a-t-il plu ?

Note : 5.0 (6 votes)
Cliquez pour voter !

Laisser un commentaire

Remarques :

  • Si vous souhaitez poser une question ou détailler un problème technique, il ne faut pas utiliser le formulaire ci-dessous qui est réservé aux avis. Posez votre question directement dans le forum Gmail de WebRankInfo. L'inscription est gratuite et immédiate.

  • En postant un avis, vous acceptez les CGU du site WebRankInfo. Si votre avis ne respecte pas ces règles, il pourra être refusé. Si vous indiquez votre adresse email, vous serez informé dès que votre avis aura été validé (ou refusé...) ; votre adresse ne sera pas utilisée pour vous envoyer des mailings et ne sera pas revendue ou cédée à des tiers.

2 commentaires

Noren

Je confirme. J’ai testé ce consent mode et lorsque je met les valeurs a denied (comme si je simulais le refus d’être tracé d’un utilisateur) non seulement je n’ai plus aucune stats prise en compte mais le plus « marrant », le cookie d’Analytics est toujours bel et bien là.
J’en ai parlé sur le forum.
Je crois vraiment qu’il serait nécessaire d’avoir plus d’information sur ce Consent Mode qui semblait pourtant être une bonne solution pour pouvoir continuer d’utiliser Analytics en version très limité tout en étant conforme au RGPD et sans nécessiter de consentement. En tout cas c’est ce que j’avais compris dans la doc du Consent Mode.

Répondre