Google Analytics sont également soumises à l'obtention d'un consentement en raison de l'accès au dispositif final

Google et quelques professionnels du marketing auraient souhaité que Google Analytics ne nécessite pas d'autorisation si les cookies ont été désactivés par configuration. C'est vrai que Google Analytics accède toujours à l'appareil de l'utilisateur et est donc déjà obligatoire en matière d'autorisation. Même le mode de consentement de Google n'y change rien, qui ne mérite pas son nom.

Introduction

Avant tout: La loi ne connaît pas le concept de cookie. Les réglementations juridiques abordent les accès à votre et mon Appareil terminal. Les cookies sont "seulement" le représentant le plus populaire de cette catégorie, mais bien sûr pas l'unique cas pertinent.

Avec le mode de consentement Google, Google promet que Google Analytics peut être utilisé même sans consentement (puisqu'il n'y a pas d'cookies) . Que cela soit faux, je le montre par un exemple simple. Même sans mode de consentement, certaines analyses Google peuvent être utilisées sans cookies et sans consentement. Cela ne fait donc pas une grande différence. Peut-être que certains ne savent pas que le mode de consentement de Google est en contradiction avec les relations de sous-traitance (vgl. Article 28 DSGVO). L'imbécile ou la personne responsable finale est toutefois l'hébergeur du site web. Souhaitez-vous rejoindre les imbéciles ?

Ce billet montre que Google Analytics effectue des accès à l'appareil de l'utilisateur, qui nécessitent une autorisation. La réglementation juridique en la matière est très simple.

En dehors de ce petit problème que je vais nommer ci-dessous, il convient ici de signaler d'autres problèmes juridiques avec Google Analytics.

Transfert de données aux États-Unis

Beaucoup a déjà été dit ici. Même Google a dit quelques choses sur le transfert de données aux États-Unis:

Pour plus de détails, consultez un article précédent sur Google Analytics.

Formation de profil d'utilisateur et personnalisation

Google Analytics est considéré comme extrêmement puissant. Il est presque inconcevable que cela soit possible sans la constitution de profils d'utilisateurs. L'ID du client Google, qu'Analytics suit, est une valeur de données personnelles. En savoir plus dans une étude sur Google Analytics.

Autorités de protection des données européennes

Actuellement, quelques autorités de protection des données européennes considèrent Google Analytics comme illégale en général ou comme autorisée uniquement avec le consentement (idéalement, si l'outil n'est pas compatible avec la RGPD d'office). Vous trouverez plus d'informations à ce sujet:

• Danemark
• La France
• Autriche
• Italie
• Allemagne: Y a-t-il une déclaration ? Je n'en connais aucune analogue à celles ci-dessus.

Passons maintenant à l'objet propre de cet article:

La raison pour laquelle Google Analytics a toujours besoin d'un consentement.

Le paragraphe sur les cookies

Dans le TTDSG, le code allemand de protection des données qui est en vigueur depuis le 01.12.2021, le mot Cookie n'apparaît pas une seule fois. Depuis mai, le TTDSG s'appelle désormais TDDDG, mais il reste inchangé. Pour ceux qui veulent en savoir plus, voici le § 25 TTDSG, également appelé règle des cookies (raccourci pour une meilleure compréhension):

(1. Le stockage d'informations dans l'équipement terminal de l'utilisateur final ou l'accès à des informations déjà stockées dans l'équipement terminal ne sont autorisés que si l'utilisateur final a donné son consentement.
(2. Le consentement visé au paragraphe 1 n'est pas requis,
1) lorsque le seul but du stockage d'informations dans l'équipement terminal de l'utilisateur final ou le seul but de l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur final est d'effectuer la transmission d'une communication sur un réseau public de télécommunications ; ou
2) lorsque le stockage d'informations dans l'équipement terminal de l'utilisateur final ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur final est strictement nécessaire pour permettre au fournisseur d'un service de télémédia de fournir un service de télémédia expressément demandé par l'utilisateur.

Résumé en ce qui concerne les sites web et Google Analytics:

Les accès à l'appareil terminal de l'utilisateur sont autorisés sans consentement que lorsque l'accès est nécessaire par des raisons techniques.

L'article 25 du TTDSG en ce qui concerne Google Analytics

L'accès à mon appareil n'est pas nécessaire pour que Google Analytics fonctionne. Cela vaut d'ailleurs déjà parce que Google Analytics n'est pas nécessaire. Nous voulons être précis: même pour la mesure de l'audience, un cookie n'est pas requis, comme je peux le démontrer objectivement (puisque cela est techniquement prouvable) à partir de mon expérience personnelle.

Pour clarifier: une autorisation est nécessaire si ce n'est pas techniquement nécessaire que

• Les données sont stockées dans l'appareil du utilisateur OU
• Lorsque les données sont accédées sur l'appareil terminal de l'utilisateur.

Excursus: Quel est le différence entre l'accès au Viewport et l'accès au Referrer, à la URL actuelle ou à l' Adresse IP ? Le Referrer, l'URL actuelle et l'IP sont transmises avec chaque requête HTTP dans les en-têtes HTTP directement. Un accès explicite aux appareils n'est pas nécessaire pour ces données. C'est tout différent pour le Viewport: ce dernier doit être explicitement demandé par la page visitée (ou le service Google Analytics intégré à cette page). Ainsi, un accès à l'appareil se produit, qui doit être légitimé conformément à § 25 TTDSG.
En outre, la traitement des données qui ont été soit explicitement (Viewport) soit implicitement (Referrer etc.) lues à partir du terminal de l'utilisateur doit être conforme à l'article 6, paragraphe 1 de la DSGVO.
La vérification juridique doit donc se dérouler:
1. Un accès est-il prévu par l'article 25 du TTDSG ? Si oui: Est-ce que cela est autorisé sans consentement. Il n'a pas d'importance si les données sont personnelles ou non. Pour que tout le monde comprenne, la Cour de justice a encore lu à haute voix le texte de la loi et a explicitement confirmé ceci.
2. Après (!) que le précédent test de conformité a été réussi, il faut vérifier, en vertu de l'article 6, paragraphe 1 du RGPD, si la traitement des données est autorisé. Cette norme juridique ne s'applique qu'aux données personnelles. Les cookies sont toujours des données personnelles, car ils sont toujours liés à l'adresse IP potentielle d'un utilisateur ou (en plus), parce qu'ils contiennent des identificateurs qui permettent un lien avec une personne. Cela est particulièrement évident avec les outils Google, qui utilisent le cookie nommé IDE pour attribuer directement l'utilisateur à un compte Google.

Une autorisation est donc nécessaire même si rien n'est stocké, mais on accède à des données sur l'appareil qui y étaient déjà stockées !

Google est mal, mais il fait quand même

Voici un événement de suivi typique de Google Analytics. Cet événement de suivi est destiné à envoyer les données collectées sur le visiteur d'une page web dans la piscine de données de Google Analytics.

GET https://www.google-analytics.com/collect?v=1&_v=j98&aip=1&a=829475794&t=pageview&_s=1&dl=https://www.asctechnologies.com/&ul=de&de=UTF-8&dt=BDX – We are the experts for something&sd=24-bit&sr=1696x954&Resolution 1491x331&je=0&_u=YCgAiAABBAAAAAAAIk~&cid=1201829514.1665683574&tid=UA-476697-1&_gid=553010699.1665683574&gtm=2wgaa0NF2377V&gcs=G100&z=1872566096

Imprimé les parties pertinentes:

• Adresse URL: Affiche le service Google Analytics
• vp = Fenêtre de navigation: Taille de la fenêtre du navigateur

La signification du paramètre nommé vp est officiellement décrite dans la documentation du Google Analytics Measurement Protocol par Google: „Spécifie l'aire visible de la fenêtre / appareil

La taille de la fenêtre du navigateur est stockée sur l'appareil du utilisateur. Faites le test: réduisez la taille de la fenêtre du navigateur en dessous de la taille maximale, fermez le navigateur, rouvrez-le. Si la fenêtre apparaît maintenant aussi grande que avant la fermeture, votre navigateur stocke clairement la taille de la fenêtre sur votre ordinateur. Lorsque vous éteignez l'ordinateur et que vous le rallumez le lendemain, votre navigateur s'affiche à nouveau dans la taille précédemment définie.

Il y a donc un accès à l'appareil final. L'article 25 TTDSG s'applique à toutes sortes de données, y compris celles qui ne sont pas liées à une personne. Il n'y a également aucun intérêt légitime dans cette réglementation juridique.

Le Vue d'ensemble est une valeur de données qui peut prendre différentes valeurs. C'est tout à fait indifférent. Il n'y a rien dans la loi à ce sujet. Pour illustrer cela, on pourrait citer les adresses IP dynamiques. En particulier, lors des accès DSL, elles changent constamment. Le juge de l'Union européenne a jugé que les adresses IP dynamiques sont des données personnelles. Pour clarifier et distinguer les adresses IP, voici une nouvelle fois: pour le § 25 TTDSG, il est indifférent quelles données sont consultées ! L'analogie avec les adresses IP se référait uniquement à la clarification du fait que même des valeurs changeantes peuvent être critiques ou, selon le § 25 TTDSG (sans doute toujours), l'être.

Résumé: Google Analytics accède à l'appareil terminal de l'utilisateur, ce qui implique toujours une obligation d'informer sur la collecte des données.

En outre, l'accès à l'appareil terminal a été abordé par Madame Professeur Weiden lors de la IDACON 2022 à Munich. La conférence s'est tenue les 17 et 18 octobre 2022. Avec M. Breyer, j'ai également fait un exposé sur le thème Cloud Computing et protection des données. J'avais écrit cet article avant la IDACON et je l'avais seulement pas encore publié, car il y avait déjà d'autres contributions en attente de publication.

Exemples de données pour lesquelles on ne (explicitement) n'accède pas à l'appareil terminal du utilisateur:

• L'URL actuelle: Celle-ci est envoyée avec les données de tête du requête HTTP. Le responsable (= propriétaire du site visité) n'accède donc pas directement à l'appareil.
• L'adresse IP du visiteur de la page Web: Dito, donc implicitement partie des données de requête HTTP et pas un accès explicite à l'appareil par le responsable
• Résolution de l'écran (controversée): Je dis que celle-ci n'est pas stockée dans l'appareil, mais nulle part ailleurs et si c'est le cas, alors seulement pour des raisons de confort dans le système d'exploitation. Une explication: tenir son téléphone en format portrait et l'éteindre, tenir-le en format paysage et l'allumer. Maintenant, la résolution est évidemment différente de celle du mode veille (si le téléphone tourne automatiquement l'écran).

Mode de consentement Google

Pour conclure, un détour par le mode de consentement Google.

Le mode de consentement Google n'est même pas utile pour les professionnels du marketing.

Oubliez le fing mode de consentement de Google. Qu'est-ce que le mode de consentement de Google ? Résumé: Lorsque votre site Web utilise le mode de consentement de Google et qu'il intègre Google Analytics, voici ce qui se passe:

1. Si l'utilisateur n'a pas donné son accord, Google Analytics est tout de même chargé et espérons qu'il ne utilise pas d'cookies. Les données sont d'abord transmises à Google. De manière généreuse, des données agrégées, c'est-à-dire statistiquement déformées, sont également introduites dans votre compte Google Analytics.
2. Si l'utilisateur a donné son consentement, Google Analytics est également chargé, puis, en fonction de la configuration, avec des cookies. Votre compte d'analyse sera alimenté comme dans le cas classique (sans utilisation du mode Consent), avec des données de haute qualité.

Mon avis là-dessus:

L'expert en analyse web M. Baersch m'a communiqué son évaluation du mode de consentement de Google pour ce billet:

Même en tant que «personne du marketing», il faut examiner de près le mode consentement. En effet, malgré son nom anodin, un opérateur Google Analytics ou Google Ads Tagging sans consentement dans le mode consentement n'a rien à voir avec le fait de respecter les exigences de protection des données ou d'honorer le consentement. Les données collectées dans le mode consentement diffèrent de celles recueillies avec le consentement en ce sens qu'elles comportent un seul attribut: l'ID client, qui permet à un visiteur d'être reconnu entre deux appels de page, n'est plus la même car aucun cookie n'est utilisé pour les stocker. Il s'agit donc d'un (pire) «mode TTDSG», mais pas du «mode consentement». Sans consentement, on ne s'attend pas à ce que le suivi se poursuive – avec toutes ses dimensions et implications – à chaque appel de page. Sans que ces données apparaissent directement dans l'interface d'analyse (à l'exception de BigQuery), mais théoriquement uniquement pour modéliser les conversions et combler la lacune de suivi. Dans lequel, par exemple, une application unique de page (SPA) n'a pas besoin d'intelligence artificielle car l'ID client reste constant en raison du manque d'un redémarrage de machine dans la plupart des cas, exactement comme pour le suivi régulier. Même un lien de conversion, qui transporte les ID de clics de l'entrée à la URL de conversion sans consentement, permet une affectation directe des conversions à leur source, sans qu'il soit nécessaire d'utiliser l'intelligence artificielle: toutes les données nécessaires sont disponibles dans les hits que Google qualifie de «pings de conversion» inoffensifs.

Dans la réalité, 100 % des appels de page sont donc traités à 100 % pour tous les visiteurs qui ont refusé le consentement au suivi, leur décision est ignorée et le suivi a tout de même lieu. C'est un moyen inapproprié. D'autres voies doivent être trouvées pour générer des retours d'information sur les conversions si elles se sont vraiment produites, sans ignorer les souhaits des visiteurs du site Web et répondre aux exigences en matière de protection des données avec des moyens inappropriés comme le mode consentement.

Citation de M. Baersch.

D'après une perspective marketing, le mode de consentement de Google est donc le plus grand brouhaha possible. Il dilue les données bonnes avec des données mauvaises. Il n'y a qu'un gagnant, et ce gagnant s'appelle Google. Peut-être laissez-vous tomber le mode de consentement de Google. Peut-être que votre département marketing comprend ce qui est écrit ci-dessus.

Comme l'a dit un lecteur dans un commentaire à mon article:

Mode de consentement Google est un terme tout aussi trompeur que opération militaire spéciale.

Conclusion

De nombreux motifs juridiques et techniques démontrent que Google Analytics est soit tout à fait illégal, soit qu'il ne peut être chargé qu'avec l'accord de la personne concernée.

Un exemple simple montre que Google Analytics est déjà soumis à l'obligation de consentement en raison de la consultation du viewport. Cette intervention n'est pas nécessaire techniquement et est donc non consentie.

Si vous prévoyez de mettre en œuvre un suivi par serveur avec Google Analytics , je vous conseille d'en rater. Soit cette approche est obligatoire en termes d'autorisation, soit la qualité des données est si mauvaise que d'autres outils comme Matomo fournissent de meilleurs résultats sans autorisation et sans problèmes juridiques. Seuls les grands entreprises pourraient tirer un avantage du suivi par serveur, mais elles se rendent alors également (probablement) plus vulnérables, comme mon expérience le montre. Qui fait beaucoup offre une grande surface d'attaque.

La photo de couverture a été créée automatiquement par un programme informatique.