UTILISATION DE GOOGLE ANALYTICS : JOUER LA MONTRE ET TENIR...


Bien peu de changements dans l'utilisation de Google Analytics en France. Les perspectives demeurent sombres.



Publié le 10 janvier 2023



Au cours du mois d'août 2022, nous avons déposé une petite trentaine de plaintes à l'encontre de sites français très visités qui utilisaient Google Analytics. Six mois plus tard, où en sommes-nous ?


Peu d'avancées, malheureusement. On revient sur une séquence, sur ses motivations, et sur les événements prévisibles à venir.



POURQUOI AVOIR PORTE PLAINTE ?


Le fait d'avoir porté plainte ne relève pas seulement du simple constat de non conformité. Le choix posé est volontairement citoyen. Pour en comprendre le contexte juridique, on renvoie le lecteur à la première partie de notre dernier article sur le sujet.

Ainsi, grâce à la décision de la CNIL sur l'usage de GA et ses mises en demeure du 10 février 2022, le "simple citoyen" a désormais la capacité de déposer plainte contre son utilisation. Cependant, ce moyen disponible pour tout-un-chacun relève, il faut bien l'avouer, plus du symbole que d'une réelle mesure de fond. Le véritable problème trouve en effet sa source dans l'absence d'accord transatlantique suffisamment protecteur pour les usagers que nous sommes sur le transfert de données personnelles vers les Etats-Unis, absence concrétisée par l'arrêt Schrems II. Car GA est-elle la seule solution analytique américaine présente sur les sites français ? Sûrement pas, et on peut citer comme exemple La solution Piano Analytics, à l'origine certes française, mais désormais franco américaine, vers laquelle se tournent les sites qui ont décidé d'abandonner GA, et dont nous avons également parlé dans un récent article.

En résumé, à l'occasion du dépôt de nos plaintes, certaines personnes ont très justement réagi sur les réseaux sociaux en affirmant qu' "on soignait un symptôme, mais pas la maladie". Et la maladie risque fort de s'aggraver. Mais avant de détailler tout cela, on se permet de revenir sur le calendrier de nos démarches.



Première étape : juin et Juillet 2022:


Nous avons, dans un premier temps, essayé de comprendre le phénomène : pourquoi les organismes français ne semblaient-ils pas respecter la décision de la CNIL ? Nous nous sommes d'abord adressés à ces organismes dont, (nous l'avons déjà écrit), nous n'avons obtenu que très peu de vraies réponses. Ces réponses existent pourtant bien. Rapahaël Richard, dirigeant de Neodia , s'est exprimé sur le sujet "Google Analytics" dès le 25 février dernier dans le Journal du Net, et décrit les potentielles et lourdes conséquences de la décision de la CNIL pour le E-marketing. De façon plus précise et fournie, Paul Roy, dans son article paru en octobre dernier dans "Mind Media", détaille remarquablement les difficultés rencontrées par les entreprises pour changer de solution analytique : il a apporté pleinement les réponses aux questions que nous nous posions.

On peut ainsi aisément comprendre que Schrems II (et de façon plus générale le RGPD) cristalise les sentiments selon lesquels il constitue une entrave au bon fonctionnement et au développement des entreprises françaises. A l'instar de Raphaël Richard, beaucoup d'entrepreneurs se sont exprimés à ce sujet sur les réseaux sociaux : tout en comprenant l'intérêt du RGPD, ils désaprouvent en filigrane une Europe qui apporte une réponse par trop conformiste et juridique à un problème économique et technique.

Si cette vision contient sa part de vérité, nous ne la partageons pas forcément dans sa totalité.

Pourquoi ne pas envisager Schrems II non pas comme une entrave, mais comme un embryon législatif qui pose le fondement d'une impulsion en faveur du développement d'une tech européenne qui, à défaut d'être souveraine, serait dans un premier temps à minima moins dépendante ? Car avec Schrems II, la CJUE et la CNIL n'on fait qu'assumer leur rôle. Qu'en est-il de nos acteurs économiques et politiques, tant nationaux qu'européens ?



Le bilan à ce stade est plutôt triste et la motivation bien maigre. Même si une prise de conscience semble en train de s'opérer, la volonté de souveraineté (ou à défaut de moindre dépendance) technologique européenne réelle, profonde, engagée, n'y est certainement pas.



Deuxième étape : dépôt de plainte fin août 2022, et réception par la CNIL en... novembre.


Il nous semble important d'expliquer concrètement la façon dont cela s'est déroulé. Nous avons dans un premier temps déposé quelques plaintes via notre compte CNIL vers la mi-août. En revanche leur grande majorité a été adressée par courrier car les pièces jointes ne pouvaient être envoyées par mail dans la mesure où elles étaient trop volumineuses. Ainsi, notre envoi a été fait, comme vous pouvez le voir sur l'image ci-dessous, le 25 août dernier. l'AR est en date du 30 août. On laisse le lecteur apprécier la date officielle de réception desdites plaintes, et de leur recevabilité.




On est (très) loin du délai de la récente plainte portée en septembre dernier par l'association "La Quadrature du net", et dont la recevabilité a été prononcée par la CNIL en ... une semaine. Ce délai ne joue pas du tout en notre faveur. Mais dans la mesure où la CNIL semble traiter les cas relatifs à l'utilisation de GA un peu plus rapidement que les autres, nous avons demandé par mail leur état d'avancement (instruction en cours ? contact avec les organismes concernés ? etc.).



Pas de réponse de leur part à l'heure de rédaction de cet article.



L'ETAT DES LIEUX


Le tableau ci-dessous fait état des changements observés sur l'utilisation de GA entre le 24 août et aujourd'hui (NDLR: 10 janvier 2023, à noter que ne sont concernés que les sites listés dansnotre article.)




Vous pouvez télécharger ce tableau ici



Les seuls sites ayant effectivement réagi sont pour la plupart des sites médiatiques, et ce changement n'est pas de notre fait. Il est plutôt le résultat des réclamations déposées par David Libeau en juin dernier. En effet, le délai était pour l'APD française plus raisonnable, et celle-ci a eu le temps de réagir.



Comme vous pouvez le constater, pas ou peu de changement pour les autres organismes.


Les compagnies de téléphonie mobile ? Mépris total de la part d'Orange, Bouygues Telecom et SFR. L'une de ces trois entreprises nous a répondu (deux mois plus tard alors que les plaintes étaient déjà déposées) en évoquant les mises en demeures de février dernier en ces termes : "les positions de la CNIL", montrant bien ainsi le peu de considération apportée au sujet.
L'entreprise nationale SNCF ? Elle nous a dit y travailler dès le 9 août dernier, c'est-à-dire il y a cinq mois. Absolument aucun changement de leur part à ce jour.
Les assurances ? A l'exception d'une seule, aucune ne nous a répondu.
La grande distribution ? Ni Carrefour, ni Leclerc, ni Auchan, ni Lidl, ni Casino, ni Intermaché n'ont donné suite à notre demande.
Le sujet est très clairement méprisé, le terme d'Omerta que nous avions utilisé en août nous semble hélas pertinent. Pourquoi ? Parce que comme nous l'avions pressenti, il extrêmement profitable pour ces organismes de jouer la montre. Et le temps, à notre grand désarroi, joue en leur faveur. Mais il joue surtout en la défaveur de l'usager. La raison en est simple : l'intérêt financier devient le moteur du travestissement la législation.



LE ROULEAU COMPRESSEUR BIDEN / VON DER LEYEN


Les sites qui utilisent GA estiment (hélàs très vraisemblablement à raison), n'avoir plus que quelques mois à tenir. Car depuis août dernier, quelques événements notables ont eu lieu, et nous en sommes les tristes et (presque) impuissants spectateurs.

En voici le résumé et les perspectives à venir.



7 octobre 2022 :


les USA émettent un décret ("Executive Order", ou "EO") qui entend apporter de nouvelles garanties à la protection des données personnelles d'européens hébergées par des moyens US : il s'agit de l'EO 14086. Cet arrêté reçoit un accueil mitigé et, en tout état de cause, pose beaucoup de questions. En l'état, les principales modifications apportées, en comparaison avec le défunt "Privacy Shield", sont les suivantes :


- L'introduction de la notion de proportionnalité dans la collecte de données personnelles par l'administration américaine, plus spécifiquement par les services de renseignements US,
- la développement d'une procédure de recours pour les usagers.


L'association "None Of Your Business" (NOYB), dont Max Schrems, pourfendeur du Privacy Shield, est le président, nous met en garde sur ce texte, car :

- La notion américaine de proportionnalité ne correspond qu'en très peu de choses à la nôtre. Le terme de proportionnalité utilisé dans l'EO 14086 été employé à dessein pour satisfaire la législation européenne, en particulier l'article 52 de la Charte des droits fondamentaux.
- Le tribunal évoqué par l'arrêté américain n'en est pas un : il s'agit plus en réalité bureau dépendant de l'exécutif.



Aussi NOYB émet-il de sérieux doutes sur la solidité d'un tel texte face à une éventuelle plainte à venir déposée auprès de la CJUE. Les déclarations et l'analyse de NOYB sur ce sujet peuvent être trouvées ici


13 décembre 2022 :


Alors que cette étape semblait plutôt attendue début 2023, la commission européenne semble pressée d'en finir, et lance le processus d'adoption de la décision d'adéquation relative aux transferts de données EU / US. L'accueil du texte est très positif pour certains de ses membres, dont notamment Didier Reynders, dont la réaction pour le moins nous étonne. On laisse le lecteur apprécier le tweet (ci-dessous) d'un homme dont on rappelle que sa mission au sein de l'Europe est de "Mettre l'accent sur une application plus stricte des règles en se fondant sur les arrêts de la Cour de justice concernant l’incidence des violations de l’état de droit sur le droit de l’Union". Autant dire que la commission Européenne entend rapidement clore le sujet.




Nous en sommes donc là. Le processus d'adoption n'est toutefois pas achevé, car la commission européenne de protection des données (CEPD) doit s'exprimer sur ce texte. Son avis n'est malheureusement que consultatif, et, tout comme en 2016 avec le "Privacy Shield" (à l'époque où cette instance s'appelait encore le "groupe article 29"), il est à craindre que, même si son avis se révèle réservé, il soit traité avec la même indifférence par la commission qu'il y a sept ans. Ainsi, "si tout va bien" (et on prend le pari que "tout ira bien"), la décision d'adéquation sera définitivement adoptée vers le printemps 2023. Que restera-t-il aux Européens pour défendre et protéger leurs données personnelles des outils de surveillance de l'Oncle Sam ? Parmi les réponses possibles : une procédure en plainte déposée auprès de la CJUE qui, comme pour le Privacy Shield, durera de longues années pendant lesquelles nos données continueront d'être collectées (et, accessoirement, pendant lesquelles nos plaintes n'auront plus aucune valeur). Et nous n'en sommes pas encore à ce stade, car pour déposer plainte, il faut un cas concret, détaillé et argumenté. Autant dire que cela prendra du temps.



Mais l'Europe n'est pas monolithique et certaines institutions demeurent plus circonspectes. En effet, une première réaction officielle du Parlement Européen fait référence à une recherche qui dresse un bilan fourni, complet et argumenté de la situation ainsi qu'un avis qui, et cela est heureux, vise à traiter le fond plutôt que la forme. Citation : "En conclusion, les chercheurs encouragent le Congrès à modifier la FISA et certains aspects du décret 123333. Plus précisément, ils appellent à des interventions qui limitent plus efficacement la collecte et l'utilisation des renseignements électromagnétiques, et à améliorer l'efficacité des procédures de recours, par exemple en prescrivant en temps opportun des amendements. Ashley Gorski et al. avait déjà recommandé de telles réformes législatives à l'administration Biden en janvier 2021. Douwe Korff arrive à des conclusions similaires en s'appuyant sur la jurisprudence de la CJUE et les orientations du CEPD."




L'avenir n'est donc pas des plus clair, et ceci d'autant plus que la machinerie en route pose de très sérieuses questions.



PETITS ARRANGEMENTS ET DELIT D'INITIE



Revenons sur la date du 25 mars, date à laquelle Ursula von der Leyen et Joe Biden ont fait leur déclaration conjointe. Quel en était le contexte ?
La présidente de la Commission était alors en quête d'énergie, car la guerre en Ukraine venait d'éclater. Elle s'est donc tournée vers son ami américain, dont on connaît la sensibilité au sujet de la data. Ainsi, concomitamment, on déclare l'achat à un prix exhorbitant de gaz américain pour l'Europe, tout en annonçant le fameux accord de principe sur le transfert de données. Ursula von der Leyen veut certainement de l'énergie "quoi qu'il en coûte", possiblement par crainte d'un accroissement de la polarisation des opinions publiques en Europe en cas de grave déficit énergétique à l'hiver prochain. Il n'est pas bon que le peuple crie au manque ; il est important de stabiliser politiquement les populations européennes dont les opinions se radicalisent à vue de sondage.
Présenté de cette façon, on pourrait penser qu'un deal "gaz-contre-données" a été passé à cette occasion. A défaut de l'affirmer avec force, cette idée est tout de même nettement évoquée ça et là.
Ainsi, le député Philippe Latombe s'étonne et publiera au surlendemain de l'émission de l'EO 14086 un article dans le journal "La Tribune", intitulé "Souveraineté énergétique et numérique : mais pour qui roule Ursula von Der Leyen ?". Côté entrepreneurs, Alain Garnier, PDG de Jamespot, publie de son côté une tribune dans le journal "Le Monde", de la même substance. Côté presse écrite, Natacha Polony exprime la même chose, en soulignant au passage et de façon extrêment juste que la data est "l'or du 21è siècle". Elle ne s'y trompe pas, et consacre une petite séquence video évocatrice de ce deal. On la salue avec un profond respect et on relève le fait qu'elle est l'une des rares journalistes de presse non spécialisée "tech" à interpeller l'opinion publique sur le sujet, et il est bien dommage qu'elle soit pour ainsi dire la seule.



L'idée selon laquelle un deal aurait eu lieu est en tout état de cause loin d'être dénuée de sens.

Cependant, au regard de quelques faits que nous allons détailler, on peut raisonnablement penser que vouloir balayer Schrems II était déjà ancré dans les esprits bien avant le 25 mars, et on se permet une analyse un peu différente.



Il faut comprendre pour cela que Schrems II, dans un tout premier temps en 2020, importe peu : personne ne respecte l'arrêt, et le business continue de tourner "as usual". Mais en 2021 commencent à tomber les premières décisions jurisprudencielles des APD (allemande dans un premier temps, puis autrichienne) de nature à inquiéter véritablement les big techs américaines. Il s'agit donc de trouver rapidement une issue à cette mesure bien dangereuse pour la santé financière des organismes US. Fin 2021, on commence à réellement s'inquiéter des potentielles conséquences de Schrems II : les décisions, notamment celles concernant l'utilisation de Google analytics, commencent à tomber.



Posons-nous la question : qu'a communiqué Google lui-même sur le sujet, alors que l'utilisation de ses solutions en Europe était de plus en plus menacée ? Le premier document, consultable ici est partiellement reproduit ci-dessous :




Ainsi, dès le 4 février 2022, Google sait déjà que l'UE et les US vont conclure un accord, soit un mois et demi avant l'annonce officielle, et deux semaines avant le début de la guerre en Ukraine. L'évocation d'un nouvel accord fait par ailleurs l'objet d'un article complet, datant du 19 janvier 2022, consultable ici.
Il faut cependant noter que le premier document fait l'objet d'une mise à jour en date de mai 2022. Nous ignorons si le passage entouré fait l'objet d'une correction ultérieure au 4 février. Néanmoins, le second document, qui ressemble fort à un billet destiné à préparer les esprits (et rassurer les clients), laisse à penser le contraire.



La question se pose naturellement : comment Google pouvait-il savoir ? Il est très vraisemblable que de puissantes actions de lobbying ont été accomplies pour en arriver là, et que l'accointance entre administration US, administration(s) européenne(s) et big tech est plus que solide. Ceci nous donne clairement envie de parler de délit d'initié, où les intérêts financiers guident l'autorité politique (ce qui n'a rien de nouveau du reste). Google doit préserver son modèle économique envers et contre tout, et tant mieux si cela revêt l'apparence d'un accord transatlantique prétendument équitable. La manoeuvre est superbe.



Omnipotens Google.



Ainsi, non seulement les entreprises européennes utilisant Google Analytics snobent littéralement Schrems II, et en définitive, font d'Internet une véritable zone de non-droit, mais encore de nombreux articles techs et autres nous détaillent-ils en par le menu la façon de muter vers le tout nouveau GA 4 pour 2023... Dit autrement, ceux-ci nous expliquent comment continuer à utiliser une solution jugée illégale (en l'état du moins) en Europe, au mépris de la législation en vigueur.



On le dit sans détour : notre nausée n'a d'égale que notre colère, et l'impuissance à changer les choses en la matière la potentialise.



Mais les organismes qui décident de conserver GA devraient toutefois prendre garde. Car en effet le refus de changement de solution analytique ne fait qu'accroître leur dette juridique accumulée depuis maintenant deux décennies. Depuis le début des années 2000, l'analytique et la publicité programmatique se sont développées sans trop se soucier de la vie privée des usagers, à tel point qu'elles sont aujourd'hui un véritable mille feuille technologique, élaboré année après année, d'une grande complexité.
Or, la protection de la vie privée devient un sujet de plus en plus prégnant qui, tôt ou tard, deviendra inévitable et surtout incontournable au sens premier du terme. Plus les entreprises ignoreront les directives des APD et le RGPD, plus dure sera la chute. Pour les dirigeants d'entreprises qui ont et auront, pendant des années, méprisé les droits de l'usager, il sera alors trop tard pour dire que cela coûte cher et ruine leur commerce. En persistant dans l'ignorance du RGPD, les organismes tech continuent d'alimenter une bien dangereuse bulle spéculative et législative. La très récente décision de l'EDPB concernant Metadevrait recevoir de leur part une attention toute particulière.



Nous continuerons donc à maintenir nos plaintes et en renseigner de nouvelles, sans rien lâcher. Et pour verser dans la pop culture, nous crions : "Help us, NOYB, you are our only hope".


Le respect de la vie privée sur Internet et la protection des données, même si elles sont et seront perpétuellement contournées, vont, malgré tout, dans le sens de l'Histoire.



Dignilog.