Le 10 juillet 2023 marque une étape significative pour le domaine du webmarketing. La Commission européenne a adopté une décision d'adéquation pour le cadre de confidentialité des données entre l'Union européenne et les États-Unis. Cet accord élimine à ce jour les doutes précédemment associés à l'utilisation de Google Analytics sur les sites européens.
Qu'est-ce que cela implique pour l'utilisation de GA4 sur vos sites ?
La protection des données personnelles garantie entre UE-US
L’accord Data Privacy Framework visant à garantir que les données de Google, Meta et de dizaines d'autres sociétés américaines puissent continuer à circuler entre les États-Unis et l'Union européenne a été conclu. Cette décision marque un tournant historique dans la protection des données personnelles. La circulation et la protection des données personnelles sont maintenant officiellement garanties entre l'UE et les entités américaines auto-certifiées figurant sur cette liste https://www.dataprivacyframework.gov/s/participant-search.
Les nouvelles garanties de protection des données UE-US
Concrètement çà donne quoi ?
Ce cadre de Protection des Données UE-US introduit de nouvelles garanties. Celles-ci, en vigueur depuis le 10 juillet 2023, limitent l'accès aux données de l'UE par les services de renseignement américains. Elles établissent également une Cour de Révision de la Protection des Données (CRPD), auprès de laquelle les individus de l'UE bénéficient d'une nouvelle voie de recours en cas de mauvaise manipulation de leurs données par les entreprises américaines.
En effet, les entreprises américaines adhèrent au Cadre de Protection des Données UE-US en s'engageant à respecter un ensemble détaillé d'obligations en matière de protection de la vie privée.
La Commission européenne, en collaboration avec les autorités de protection des données européennes et les autorités compétentes américaines, effectuera des revues périodiques du fonctionnement du Cadre. La première revue aura lieu dans un an à compter de l'entrée en vigueur de la décision d'adéquation, soit en juillet 2024.
Pour plus d’informations, nous vous invitons à lire la FAQ de la CNIL sur le sujet.
Google Analytics à l'ère de la nouvelle décision d'adéquation
Les enjeux quant à l'usage de Google Analytics se trouvent au cœur de cette nouvelle décision. Le transfert sécurisé de données personnelles vers les États-Unis devient officiellement autorisé, vers les entités certifiées, dont fait partie Google, permettant une utilisation de GA4 en toute légalité. Jusqu'à présent, pour être en conformité, les données devaient passer par une étape de "proxification", qui consiste à collecter et nettoyer les données de toute information personnelle avant leur envoi à Google Analytics (sans parler des conditions juridiques). La nouvelle décision change la donne. Le transfert de données personnelles vers les États-Unis ne nécessite plus ce processus d’anonymisation.
Le bandeau de consentement des cookies toujours d’actualité ?
Néanmoins, la collecte des données par les cookies propriétaires dans Google Analytics reste soumise au consentement de l'utilisateur. Les entreprises doivent toujours obtenir le consentement des utilisateurs via le bandeau RGPD de cookies avant de collecter leurs données via Google Analytics. Cependant, la nouvelle décision facilite le processus de collecte et d'analyse des données. Google Analytics gagne en efficacité et en précision, tout en respectant les normes de protection des données de l'UE.
Cependant, la fin de l’usage de cookies se profile à l'horizon 2024. Le Server Side offre une alternative viable pour la collecte de données. Les investigations autour du Server Side conservent leur importance. La nouvelle décision de la Commission européenne ne change pas cet état de fait. Le Server Side offre une collecte de données plus robuste, moins sujette aux blocages des adblocks et autres bugs du navigateur.