Make the Noise

Google Analytics 4 et HubSpot : comment être en conformité RGPD ?

Google Analytics est un outil d'analyse de données incontournable. Mais avec la mise en place du Règlement Général sur la Protection des Données, ou RGPD, les entreprises ont dû faire face à de nouvelles réglementations en matière de protection des données personnelles. En France, la Commission Nationale de l’Informatique et des Libertés, ou CNIL, a mis en demeure plusieurs organismes pour non-conformité de ce règlement en février 2022. Alors avec la suppression prochaine de Google Universal Analytics, ou UA, et la démocratisation de Google Analytics 4, ou GA4, la question qui se pose est “GA4 est-il conforme au RGPD ?”.

Google Analytics, qu’est-ce que c’est ?

Google Analytics est une plateforme d'analyse de données proposée par Google. Elle permet aux propriétaires de sites web et d'applications mobiles de collecter, de mesurer et d'analyser des données relatives au comportement des utilisateurs. Cette plateforme est utilisée pour comprendre comment les utilisateurs interagissent avec un site web ou une application, pour identifier les pages et les fonctionnalités les plus populaires, et pour suivre les conversions et les objectifs.

Évaluez votre site internet  Réalisez un audit gratuit et automatique des performances de votre site  internet en quelques secondes  J’obtiens mon score

Google Analytics est disponible en plusieurs versions, dont la plus connue est Google Universal Analytics. Cependant, en 2020, Google a introduit une nouvelle version appelée Google Analytics 4.

Google a d’ailleurs informé les utilisateurs qu'il mettra fin au support de UA à partir du 1er juillet 2023. Ainsi, les utilisateurs qui souhaitent continuer à bénéficier des fonctionnalités de mesure et d'analyse de données devront migrer vers GA4. Il est donc important de planifier la migration dès que possible pour éviter tout désagrément à l'approche de la date limite.

fin d'universal analytics pourgoogle analytics 4

Rappel sur la RGPD : qu’est-ce que c’est ? Où en est-on ?

Le Règlement Général sur la Protection des Données, ou RGPD, est une réglementation de l'Union Européenne qui a été mise en place en 2018 pour protéger les données personnelles des citoyens de l'UE. Le RGPD impose aux entreprises de l'UE et à celles qui traitent les données personnelles des citoyens de l'UE, de prendre des mesures pour en garantir la sécurité et la confidentialité. Les entreprises qui ne respectent pas le RGPD peuvent être passibles de lourdes amendes.

Entre 2018 et 2022, les entreprises françaises se sont progressivement mises en conformité avec le RGPD. Mais, une partie de ce règlement a été grandement délaissée. Et c’est alors qu’en février 2022, la CNIL fait un rappel à l’ordre. Elle engage plusieurs procédures de mise en demeure à l’encontre de gestionnaires de sites utilisant Google Analytics.

La CNIL juge alors que les transferts de données vers les États-Unis manquent d'encadrement à l’heure actuelle, suite à l’invalidation du Privacy Shield. Ainsi, les données ne peuvent être transférées que si des garanties appropriées sont mises en place. Cependant, la CNIL a constaté que les mesures prises par Google pour encadrer les transferts de données via Google Analytics ne sont pas suffisantes pour garantir l'absence d'accès des services de renseignements américains à ces données. En bref, ces mises en demeure signent l’interdiction pour les entreprises françaises d’utiliser Google Analytics pour l’analyse de leurs données. En cas de violation de l’article 44 du RGPD, les sanctions seront importantes.

Les nouvelles fonctionnalités de Google Analytics 4

GA4 est un réel changement de paradigme puisque son modèle de fonctionnement a complètement été revu. Voici les 5 nouveautés de Google Analytics 4 selon Google :

  • De pages vues et sessions à événement : UA utilisait des données basées sur les sessions des utilisateurs. GA4 utilise quant à lui, des données basées sur les événements. Donc en suivant la logique, une page vue est un évènement comme un autre désormais. On perd en conséquence la structure “Catégorie – Action – Libellé” pour n’avoir plus qu’un événement unique.
    pages vues et sessions vs événement
  • Cross-device tracking : Avec Google Analytics 4, les données peuvent être collectées depuis les sites web et les applications grâce à une fonctionnalité de cross-device tracking. Cette approche permet d'offrir une meilleure compréhension du parcours client en utilisant une analyse unifiée de tous les canaux. Ainsi, les événements peuvent être suivis sur différentes plateformes, ce qui facilite la compréhension de l'ensemble du parcours client.
  • Paramètres de confidentialité : Google Analytics 4 apporte plusieurs améliorations en termes de confidentialité et de paramétrage des données, notamment sur la mesure sans cookie. L'une de ces améliorations est l'anonymisation automatique des adresses IP. En outre, GA4 propose des paramétrages plus fins en ce qui concerne la collecte de données. Enfin, Google Analytics 4 permet la suppression des données sur demande, jusqu'au niveau utilisateur. Cette fonctionnalité permet aux utilisateurs de mieux contrôler leurs données et de les supprimer à tout moment s'ils le souhaitent.
  • Intégration directe : GA4 s’intègre directement aux plateformes multimédias pour faciliter les actions réalisées depuis un site web ou une application, notamment avec Google Ads, pour une optimisation des performances des campagnes.
  • Fonctionnalité prédictive : GA4 propose une interface mieux adaptée aux besoins des utilisateurs pour une expérience optimale, avec plus de vues et de segments. L’interface est ainsi plus intuitive avec des rapports centrés sur le cycle de vie du client, etc.

RGPD et Google Analytics 4 ça donne quoi ?

Mais alors, est-ce que Google Analytics 4 est conforme au RGPD ? Cette question est à la fois simple et complexe. Google a effectivement pris en compte une partie de la réglementation en matière de protection des données personnelles. Contrairement à sa version précédente, GA4 ne repose pas sur les cookies et utilise un modèle de données basé sur les événements. De plus, il est possible de ne pas stocker les adresses IP, ce qui renforce sa conformité aux exigences légales. Toutefois, cela ne suffit pas pour garantir une conformité totale au RGPD et éviter des sanctions de la CNIL.

Suite à l’invalidation du Privacy Shield, la CNIL a jugé que les transferts de données vers les États-Unis manquaient d’encadrement. Même si la CNIL ne s’est pas officiellement prononcée sur l’interdiction de GA4, on peut en déduire que c’est également valable pour cette nouvelle version, puisque les données transitent toujours vers les États-Unis.

On pourrait penser que la solution à ce problème de conformité serait la fonctionnalité de GA4 qui permet de supprimer ou d'anonymiser les adresses IP dès leur réception. Cependant, la CNIL n’autorise tout simplement pas que ces adresses soient transférées vers les États-Unis.

Tant qu’une seconde version du Privacy Shield ne sera pas proposée et validée, des entreprises qui utilisent GA4 risquent de continuer à se faire sanctionner.

La seule solution viable aujourd’hui serait d’avoir recours à un serveur proxy pour rompre tout contact entre le terminal de l’utilisateur et le serveur situé aux USA. Les données ne sortiraient ainsi plus de la zone européenne. Et si ça paraît trop beau pour être vrai, vous avez raison. Cette solution coûte entre 1500€ et 4000€ par an, rien que pour les frais de serveur. Et vous perdrez également certaines fonctionnalités utiles pour analyser vos résultats avec cette solution.

Les alternatives proposées par la CNIL

Même si la situation peut évoluer rapidement, à date, GA4 n’est donc pas une solution conforme au RGPD selon la CNIL.

Évidemment, il n’est pas possible d’arrêter de suivre et analyser la donnée de son site ou son application. Quelles sont alors les solutions proposées par la CNIL pour résoudre le problème ?

Matomo : C’est la solution vers laquelle se tournent la majorité des entreprises. Elle n’est néanmoins pas gratuite. Comptez 19€ par mois pour héberger vos données sur leur cloud. Et si vous avez l’infrastructure nécessaire chez vous pour héberger les données, dans ce cas, seules les options sont payantes. Prenez également en compte qu’il faudra former vos équipes sur ce nouvel outil car l’interface et le vocabulaire diffèrent sensiblement. Et il existe encore peu de ressources en ligne pour monter en compétences.

AT Internet : C’est pareillement une solution de plus en plus utilisée. Le prix est supérieur à Matomo puisqu’il faut compter pas moins de 355€ par mois. Mais cet outil propose une analyse très puissante des données et des fonctionnalités complètes. Il faudra également prévoir un temps de formation conséquent car la maîtrise de cet outil est complexe.

Il existe de nombreux autres outils approuvés par la CNIL, tels que :

  • eTracker
  • Piwik PRO
  • Abla Analytics
  • SmartProfile
  • Retency Web Audience
  • Etc.

Vous pouvez consulter l’intégralité des solutions ici.

Qu’est-ce que ça change GA4 pour les utilisateurs HubSpot ?

Si vous utilisez Google Analytics avec HubSpot, le passage de UA à GA4 aura peu d’impact sur vous. Il vous suffira de setup la propriété GA4 depuis les paramètres de Google Analytics. Une fois la propriété créée :

  • Rendez-vous dans les paramètres HubSpot, dans “Site web” puis “Pages”.
  • Cochez la case “Intégrer à Google Analytics 4” qui se situe dans l’onglet “Intégrations”
  • Collez l’ID de la propriété

Pour un tutoriel plus détaillé, voici la page dédiée pour intégrer Google Analytics à HubSpot.

HubSpot et Google Analytics 4

Si la migration de UA à GA4 est simple sur HubSpot, il n’en reste pas moins que cet outil n’est pour l’instant pas en conformité RGPD. Toutefois, il est fort probable que Google réagisse dans les prochains mois, en proposant une mise à jour qui permettrait de ne plus faire transiter les données aux USA.

Et pour rappel, il n’y a pas que Google Analytics à prendre en compte concernant le RGPD avec HubSpot. En effet, il est par exemple recommandé d’utiliser Google Tag Manager et de le relier aux cookies HubSpot pour déclencher les bons tags en fonction des préférences de l’utilisateur. Je vous invite à vous renseigner sur le sujet car par défaut HubSpot n’est pas non plus conforme au RGPD. Mais il est possible de paramétrer l’outil afin de rentrer en conformité.

3 techniques indispensables pour dompter le CRM HubSpot à son paroxysme  Regarder le replay

Ce qu’il faut donc retenir, c’est qu’à l’heure actuelle, Google Universal Analytics et Google Analytics 4 sont interdits en France à cause du transfert de données vers les États-Unis. Mais la situation pourrait évoluer rapidement car une deuxième version du Privacy Shield devrait être proposée prochainement. Et Google travaille sur une mise à jour qui pourrait permettre de ne pas envoyer les données aux USA… Affaire à suivre.

Une fois par mois, des conseils, des études de cas et des histoires growth dans votre boîte mail

abonnés

900+ abonné·e·s

email

1 email pas mois

Cadeau

Contenu inédit