Au cours des derniers mois, Google Analytics a considérablement évolué et est désormais passé à Google Analytics 4. La question est de savoir si un consentement est nécessaire pour la version disponible en 2023 et pourquoi. La réponse dépend de la configuration de l'outil, si le transfert de données vers les États-Unis et les conditions d'utilisation de Google ne sont pas considérés comme un problème.
Cet article examine principalement Google Universal Analytics. Cette variante de Google Analytics était la plus utilisée jusqu'à récemment. Les différences avec Google Analytics 4 sont en grande partie négligeables du point de vue de la protection des données. En outre, il existe ce qu'on appelle les Google Analytics 4 Properties. Il s'agit de propriétés avec des caractéristiques, qui pouvaient être utilisées pour le compte Google Universal Analytics existant. L'utilisation parallèle de GA4 Properties et GA Properties était possible.
Tout d'abord, un mot sur les conditions d'utilisation de GA4
Les conditions d'utilisation de Google stipulent dans la section "7. Protection des données"::
Vous ne transmettrez pas à Google des informations que Google pourrait utiliser ou reconnaître comme des informations permettant de vous identifier personnellement, et vous n'autoriserez ni n'aiderez des tiers à transmettre de telles informations"
L'utilisation de Google Analytics dans sa version standard n'est donc pas possible, car l'adresse IP est déjà une donnée à caractère personnel, qui est toujours transmise à Google en cas d'intégration standard de GA. Soit Google n'a aucune idée de la protection des données, soit il reporte volontairement toute la responsabilité de la livraison des données sur le responsable qui utilise GA.
Google Analytics avec cookies (configuration standard)
Dans la configuration standard, Google Analytics a l'apparence suivante:
- Utilisation de Cookies tiers
- Transfert des valeurs des cookies vers les serveurs de Google
- Conduire un Client Id par utilisateur, qui est unique pour chaque navigateur et appareil
- Avantages du empreintes de navigateurs, notamment par la lecture des Viewports. Seul cela fait que Google Analytics est obligatoire dans toutes les configurations
- Analyse des chemins de clics
- Évaluation du temps passé par les utilisateurs sur les différentes pages
En raison des cookies utilisés ainsi que du transfert de données prouvé par Google Analytics à partir des cookies vers les serveurs Google, une consentement obligatoire est exigé. Cela peut être déduit logiquement de l'article 5 (3) de la directive ePrivacy, qui doit s'appliquer en Allemagne conformément au jugement du BGH du 28.05.2020 (I ZR 7/16) et doit être interprété conformément à la directive selon l'article § 15 Abs. 3 TMG.
L'identifiant du client s'appelle bien l'identifiant du client, mais c'est une identification pour un utilisateur ( = le client) qui est en question.
Il ne s'agit pas d'une intention que l'identification soit toujours stockée sur le Client (c'est-à-dire l'appareil terminal de l'utilisateur, si on peut qualifier l'appareil terminal de client) . Lorsque Google Analytics fonctionne avec des cookies, la Client Id est stockée sur l'appareil terminal de l'utilisateur. Lorsque Google Analytics fonctionne sans cookies, la Client Id n'est pas stockée sur l'appareil terminal de l'utilisateur – le stockage d'informations dans l'appareil terminal de l'utilisateur ne fonctionne pas sans cookies (au 05.03.2021) !
Preuve de l'accès aux cookies par Google Analytics
Que l'accès aux cookies par Google Analytics se produise, cela peut être démontré comme suit:
Les cookies générés par Google Analytics lors de l'appel d'une page Web choisie au hasard sont les suivants:
Que ces cookies aient été créés par Google Analytics peut également être prouvé. Je vais m'en passer ici. Quiconque est techniquement capable le fera seul.
Que les cookies de Google Analytics soient accessibles, cela peut être prouvé en regardant l'événement de suivi qui est déclenché par le script de _Google Analytics:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
Le véritable appel est encore beaucoup plus long. Il a été raccourci pour des raisons de protection des données et une meilleure lisibilité. Comme on peut le voir, les valeurs stockées dans les cookies sont transmises dans les paramètres cid et _gid. Par conséquent, il y a eu clairement un accès aux cookies, donc un accès aux informations stockées dans l'appareil du utilisateur. Cette preuve est inattaquable, car elle peut être reproduite à tout moment (au 10.02.2021).
Les cookies ne constituent pas un intérêt légitime
Que les cookies ne soient pas couverts par un intérêt légitime peut être déduit uniquement du fait que Google Analytics peut fonctionner sans cookies. Cette situation sera examinée ensuite. D'ailleurs, cela serait également sans importance si les cookies pouvaient être attribués à un intérêt légitime. Puisque le § 25 TTDSG, qui réglemente l'obligation d'informer les cookies, ne connaît pas l'intérêt légitime ! Le TTDSG est en ce point une loi spéciale par rapport à la RGPD et a la priorité sur la RGPD pour les cookies. Selon le TTDSG, il n'a également aucune importance si des valeurs sont stockées dans les cookies qui sont liées à une personne ou non. Le TTDSG met en œuvre l'ordonnance de confidentialité de l'UE presque mot pour mot pour l'Allemagne.
Lorsque Google Analytics utilise à la place des cookies classiques la surnommée HTML5 Local Storage, la base juridique est identique. Cela signifie que même avec cette surnommée Stockage sur le web, il faut obtenir le consentement de l'utilisateur.
Google Analytics avec cookies ou stockage web nécessite un consentement sur la base de la directive ePrivacy
Configuration standard de Google Analytics.
Google Analytics ohne Cookies
Un autre de mes articles décrit la configuration de Google Analytics sans cookies.
Si Google Analytics est configuré de telle sorte que les cookies ne soient pas utilisés, la caractéristique est comme suit:
- Conduire un Client Id par utilisateur, qui est unique pour chaque navigateur et appareil
- Utilisation de l'empreinte digitale du navigateur
- Analyse des chemins de clics
- Évaluation du temps passé par les utilisateurs sur les pages
Le Client Id est envoyé aux serveurs Google à chaque événement de suivi par l'outil d'analyse, bien sûr. Cependant, le Client Id est attribué un nouveau valeur à chaque appel d'une autre page du domaine (c'est-à-dire la page visitée) si les cookies ne sont pas utilisés. Google Analytics reconnaît donc un utilisateur comme étant récurrent au sein de la même session, mais seulement s'il appelle deux pages différentes de la même page web. Cela ne surprend pas, car le transfert du Client Id d'une page 1 à une page 2 ne peut pas se faire directement sans cookies et ne peut se faire que (secrètement) par un Fingerprinting non directement vérifiable.
Avec l'Id Client, un utilisateur peut être suivi. L'Id Client peut à son tour être lu depuis la page web qui utilise Google Analytics. Le code pour lire l'Id Client est:
// Auslesen der Client ID
// Code erst nach dem send Befehl ausführen!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Une fois que l'on peut enregistrer l'adresse IP de chaque utilisateur, on peut également enregistrer la IP-Adresse d'un utilisateur et la Client Id associée à cette adresse IP. C'est possible parce que Google Analytics rend la Client Id accessible sur la page web.
Une variante de Google Analytics respectueuse des données, qui n'existe pas en raison de l'existence du Client Id, conserverait au moins le Client Id codé sur l'appareil terminal de l'utilisateur et le décodifierait uniquement sur le serveur Google et donc dans le tableau de bord de Google Analytics. Cela empêcherait qu'on puisse comprendre quel utilisateur est associé à quel résultat dans le tableau de bord de Google Analytics.
Si Google Universal Analytics affiche clairement le Client Id, il est possible de l'exporter ou de l'interroger via une interface et de mélanger les données avec ses propres enregistrements concernant les utilisateurs. Il est toutefois possible d'enregistrer la adresse IP de l'utilisateur sans qu'il puisse être prouvé. Ce qui serait cependant prouvable, c'est le transfert des Client Id vers un serveur personnel. Pour cela, il faudrait faire appel à JavaScript via AJAX. Alternativement, on pourrait passer le Client Id en paramètre lors du lancement d'une page suivante, ce qui serait également prouvable. De plus, inconvénient de cette approche, c'est que le suivi ne pourrait pas avoir lieu si la page est quittée complètement.
Si l'identifiant du client est transmis au propre serveur, c'est-à-dire au serveur de la page web visitée, une obligation d'informer est donnée.
Si le Client Id est envoyé uniquement au compte Google Analytics et non ailleurs, une obligation de consentement en vertu Article 6 RGPD n'est pas directement donnée. Cependant, il faut selon Article 12 RGPD que des informations transparentes sur les traitements de données se produisent. Les mentions relatives à la protection des données du groupe Google sont le contraire de la transparence.
Si l'on se tourne vers Google , on peut y lire que la traçabilité d'un utilisateur individuel en fonction de son Client Id peut avoir lieu sur une période plus longue et à travers plusieurs points de contact (Touch Points). Seul cela semble nécessiter un consentement. Cela vaut selon moi également si l'on utilise uniquement Google Analytics 360 (GA 360, anciennement GA Premium) pour analyser en profondeur les utilisateurs, mais que GA 360 n'est pas activé. GA 360 permet directement l'accès aux données brutes (en effet, on paie avec GA360 principalement pour la possibilité d'exporter et d'évaluer ces données). ([1])
La consentement obligatoire s'applique également si on doit plonger profondément dans la boîte à trucs pour effectuer une analyse de flux d'appui ( Clickstream Analyse ) avec Google Analytics (environ via le Google Tag Manager ). Je ne donne pas ici un lien vers l'article qui montre comment faire, afin de ne pas motiver personne à tort. En résumé, on trace les données enregistrées par Google Analytics. On compare ensuite les métadonnées aux données de suivi pour obtenir des hits plus détaillés qui peuvent être attribués individuellement aux utilisateurs.
Mise à jour du 30.04.2021: Il existe une déclaration officielle écrite de la part de Google elle-même, selon laquelle toutes les (!) données de Google Analytics sont stockées et analysées aux États-Unis. Selon cela, il y a toujours un transfert de données vers les États-Unis, ce qui pose la question en vertu de l'article 44 du RGPD. ([1])
Google Analytics stocke toujours toutes les données (au moins) aux États-Unis
Déclaration de Google elle-même, reproduite dans mes mots, état au 30.04.2021.
Avant que les données Google Analytics n'atterrissent aux États-Unis, elles sont généralement collectées par des "collecteurs", si possible à proximité géographique du visiteur d'un site web, et éventuellement envoyées à leur destination via des stations intermédiaires. Il y a donc potentiellement un traitement des données à l'échelle mondiale.
Enregistrement de l'ID du client
Si Google Analytics est utilisé sans cookies, l'ID client n'est pas stocké sur le dispositif de l'utilisateur, mais il existe uniquement dans la mémoire principale comme information fugace.
Le Client Id est stocké sur les serveurs Google lorsqu'il n'y a pas d'utilisation de cookies, ce qui reste tout à fait inacceptable (voir ci-dessus). Voici une image pour illustrer la situation: Quand quelqu'un intègre Google Analytics dans son site web et qu'il analyse plus tard les données collectées via le Google Analytics Dashboard:
Il aurait été tout à fait possible pour Google de ne pas rendre cette Client Id disponible et ainsi d'être plus respectueux des données. C'est ce que Google n'a pas voulu, c'est-à-dire ne pas être respectueux des données.
La capture d'écran suivante montre ce que l'on peut faire avec les données de Google Analytics:
Les données ne sont pas disponibles via les moyens standards de Google, mais elles peuvent être obtenues sans avoir recours à d'autres produits Google. Comme le montre l'illustration, il est même possible de lire des mots-clés qui ont été utilisés lors de la recherche de la page web actuellement affichée. Chaque utilisateur individuel reçoit également un identifiant unique. Ainsi, les utilisateurs peuvent être suivis à travers plusieurs canaux. Cela peut même se faire facilement en utilisant une copie personnelle du script Google Analytics, ce qui est toutefois vite repéré par quelqu'un ayant des connaissances techniques et de la compréhension du droit à l'image. Une documentation de Google montre combien de données sont enregistrées pour chaque interaction utilisateur avec Google Analytics. Il y en a tellement que leur nombre ne peut être compté qu'automatiquement. Il y a 257 attributs par hit (au 26/07/2021). Cette enregistrement se produit toujours, mais n'est disponible que dans Google Analytics 360.
Voici un exemple positif avec Piwik, où on voit que la conduite de la même Client Id dans le navigateur de la page visitée et sur le serveur où les résultats d'analyse sont stockés, n'est manifestement pas nécessaire:
Matomo enregistre ce visiteur avec le transfert de données suivant, qui a lieu dans le navigateur:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Comme on peut le voir en comparant ces paramètres avec l'écran d'avant, il n'y a nulle part la ID du visiteur 67f37f3a2aa98b84 visible. Même dans un cookie de session Matomo, cette ID n'est pas stockée, mais le valeur est 8xx1f5bec073xxffe61862b70312xxe0.
Une affectation d'un utilisateur dans le navigateur avec un visiteur dans les résultats de Matomo est ainsi impossible et donc beaucoup plus respectueuse des données que Google Analytics
Il existe également des outils qui fonctionnent parfaitement sans Client Id. Puisque je ne veux pas faire de publicité pour des fournisseurs commerciaux, je mentionnerai volontiers le fournisseur que je connais sur demande.
DPA avec Google ?
Lorsqu'il s'agit d'une configuration sans cookies et sans partage de données d'analyse avec des tiers, un DPA doit être clos avec Google, ce qui fait que la responsabilité première incombe au responsable du site Web. Un DPA est un contrat de traitement de commandes. Cependant, un tel contrat ne peut être conclu qu'avec Google si Google n'utilise pas les données collectées par Google Analytics à des fins propres.
Transmission de données à des tiers
Dans les conditions d'utilisation de Google Analytics, il est précisé, en point 6, que Google peut transmettre des données à des tiers pour fournir le service. Cela est en soi acceptable, tant que ces tiers peuvent garantir un niveau de protection conforme au RGPD. On se pose alors la question: qui sont ces tiers ? Laissons cette question de côté sans nous y attarder.
Accès aux données depuis un pays tiers non sûr
Dans le premier article des conditions d'utilisation mentionnées ci-dessus, on trouve une référence à Google LLC: «Ces conditions d'utilisation pour Google Analytics … s'appliquent entre Google LLC et vous …). Google LLC a son siège aux États-Unis.».
Une autre indication qu'un client Google Analytics conclut en réalité son contrat avec Google LLC, USA, et non pas avec Google Ireland Limited, Irlande. Google envoie parfois des e-mails aux clients Analytics. J'ai reçu un tel e-mail:
Le pied de page du mail se lit comme suit:
Il est à noter que je suis inscrit à Analytics avec une entreprise située en Allemagne. Google demande explicitement cette information afin d'afficher des conditions valables pour l'Europe.
Je considère que l'e-mail susmentionné et l'indication dans l'accord avec Google lors de la conclusion d'un compte Analytics prouvent que le partenaire contractuel est Google LLC, USA. Si l'on clique sur le lien de désinscription figurant dans l'e-mail susmentionné, on accède à une page web qui mentionne à nouveau Google LLC, USA, comme exploitant du site web.
Le partenaire contractuel central pour les clients allemands de Google Analytics est Google LLC, USA
Un fait prouvé.
Les États-Unis sont un pays tiers non sûr, pour lequel il ne peut pas y avoir de garanties que la RGPD est respectée. La RGPD s'oppose au FISA Act (Loi sur l'espionnage à l'étranger) ainsi qu'au Cloud Act. Les clauses contractuelles standard sont donc bâton branlé pour les États-Unis.
Google Analytics sans cookies nécessite un consentement en raison des transferts de données vers des pays tiers non sûrs
A cela s'ajoute probablement une obligation de consentement en raison d'indications non transparentes de la part de Google.
Utiliser son propre ID client
Il est possible d'utiliser une clé client personnalisée au lieu de celle attribuée par Google. Cela peut être particulièrement utile lorsqu'on utilise plusieurs comptes Google Analytics.
ga('create', 'UA-XXXXX-Y', {
'stockage": "aucun",
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
Le code source affiché transmet à Google Analytics un Client Id propre, qui a été généré par le site Web ou réattribué pour un utilisateur régulier. De plus, les cookies sont désactivés. Avec les cookies, la situation serait identique à celle décrite ci-dessus.
L'utilisation d'un Client Id propre entraîne directement une exigence de consentement conformément à Article 5, paragraphe 1 c RGPD ou Article 25 RGPD, les exigences de minimisation des données et du contrôle des données par la conception technique.
Google Analytics avec son propre Client Id est soumis à l'obligation de consentement en raison de l'art. 5, al. 1 c RGPD, art. 25 RGPD.
à quoi s'ajoutent, le cas échéant, d'autres exigences juridiques.
Propre ID utilisateur pour Google Analytics
Au lieu d'une Client Id, une page web peut utiliser sa propre User ID. Les différences entre Client Id et User ID sont:
- Le Client Id est pseudonymisé et limité à un navigateur sur un appareil terminal. Le User ID peut fonctionner transmédia et identifier les utilisateurs de manière personnelle.
- Le Client Id est le standard pour les évaluations de Google Analytics. L'ID utilisateur doit être activé pour les évaluations.
- Le Client Id est attribué automatiquement. L'ID d'utilisateur doit être attribué et géré par le client de Google Analytics.
Le code suivant montre la transmission de votre propre User ID à Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Avant que l'ID d'utilisateur ne soit transmise à Google Analytics, elle doit naturellement être générée elle-même.
L'User ID peut être associé secrètement à une adresse IP. De plus, on peut supposer que l' User ID est comparée avec les données de l'utilisateur qui ont été collectées ou seront collectées par d'autres moyens.
Une autorisation est nécessaire pour utiliser une propre ID d'utilisateur avec Google Analytics.
Google Analytics avec son propre User ID est, selon la configuration, soumis à l'obligation de consentement sur la base de l'art. 5, al. 1 c du RGPD ou de l'art. 5 (3) de la directive ePrivacy
Le User Id peut être géré de différentes manières. L'évaluation doit se faire en fonction de cela.
Résumé
La table suivante montre l'évaluation de la nécessité d'un consentement pour différentes configurations de Google Analytics:
| Configuration de Google Analytics | Évaluation |
|---|---|
| Avec cookies | Obligation d'approbation conformément à l' Art. 5 (3) ePrivacy directive |
| Sans cookies, avec Client Id, pas d'utilisation propre du Client Id | Obligation d'approbation conformément à l' Art. 44ff RGPD ou Art. 5 Abs. 1b or c RGPD ou Art. 25 RGPD |
| Sans cookies, avec Client Id, utilisation propre du Client Id | Obligation d'approbation conformément à l'article 5, paragraphe 1 b ou c du RGPD ou à l'article 25 du RGPD |
| Sans cookies, avec votre propre ID client | Obligation d'approbation conformément à l' Art. 6 RGPD ou Art. 5 Abs. 1 c RGPD ou Art. 25 RGPD |
| Sans cookies, avec User ID | Obligation d'approbation conformément à l'article 5 (3) de la directive ePrivacy ou à l'article 5, paragraphe 1, c) du RGPD ou à l'article 25 du RGPD (selon l'implémentation de l'ID utilisateur) |
Pour tous ces scénarios, il s'agit selon Article 44 ff RGPD d'une obligation de consentement, car l'hébergeur de service Google LLC est basé aux États-Unis et opère à l'échelle mondiale, ainsi que transmet des données à des tiers.
Même pour ces scénarios, il est probable qu'une obligation d'autorisation soit applicable en vertu de Article 12 du RGPD. Cet article stipule que l'utilisateur doit être informé de manière transparente. Article 5, paragraphe 1 b du RGPD exige des finalités claires et définies. Pouvez-vous m'expliquer les conditions d'utilisation et la politique de confidentialité de Google ? Pouvez-vous me dire qui ou quoi est désigné par «Google» ? À ce sujet, j'ai trouvé la réponse selon laquelle «Google» au sens de la déclaration de protection des données de Google pour l'Espace économique européen correspond à l'ensemble du groupe Google, c'est-à-dire Google Irlande, Google États-Unis ainsi que les plus de cent prestataires de services sous-traités.
Il faut veiller à ne pas utiliser les cookies Opt-Out. Au lieu de cela, le script Google Analytics ne doit plus être chargé lorsque l'utilisateur a retiré son consentement.
Qui donne de l'importance à une grande sécurité juridique devrait utiliser un autre outil d'analyse. Par exemple, Piwik (Matomo) peut être configuré pour une installation locale sans que la consentement ne soit nécessaire. Aussi WP Statistics pour les sites Web WordPress fait un bon travail.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.