Il y a quelques jours, le magazine en ligne norvégien Digi a publié un article dans lequel le Commissaire
Bjørn Erik Thon affirme que Google Analytics pourrait être rendu illégal.

Cet article (je vous laisse traduire, avec Google – l’ironie) a soulevé de nombreuses critiques, tant les données du rapport sur lequel Mr. Thon s’appuie laissent à désirer.

Ce billet d’aujourd’hui fait suites aux différents commentaires que j’ai pu voir dans la blogosphère, dont notamment ce billet chez l’ami Korben, et je tenais à éclaircir plusieurs points.

Récapitulons:

Point de vue légal

La Norvège ne fait en effet pas partie de l’Union Européenne, elle n’est donc pas impactée par la directive sur le respect de la vie privée et de l’utilisation des cookies dont tout le monde parle sans savoir vraiment ce qu’elle contient.

Crédibilité

Bjørn Erik Thon, le commissaire norvégien ne sait pas de quoi il parle. C’est un fait. Il s’est même fait tacler par mon confrère Brian Clifton.

Le point vaguement soulevé par Monsieur Thon porte sur l’utilisation de données personnellement identifiables (PII) sans consentement préalable de l’internaute. Pas de quoi en faire une montagne, c’est dans les conditions d’utilisation de Google Analytics. Vous ne les avez pas lues? Dommage pour vous.

Où l’on reparle de l’adresse IP

Cela fait des années que Google a montré qu’il n’utilisait pas les adresses IP des visiteurs dans d’autres services Google qu’Analytics. Chaque service Google capture ses propres adresses IP.

Si *vraiment* les adresses IP posent problème, adaptez votre code de suivi Google Analytics de la manière suivante:

var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']); 
_gaq.push (['_gat._anonymizeIp']); 
_gaq.push (['_trackPageview']);

_anonymizeIp() aura pour effet de tronquer le dernier octet de votre adresse IP, vous rendant dans la pratique anonyme même si c’est parfois suffisant pour vous rattacher à un pays et/ou un FAI.

De toute façon au niveau légal, on a suffisamment de jurisprudences partout dans le monde qui montrent qu’une adresse IP n’est pas un élément de nature à identifier formellement une personne.

En France, l’IP n’est pas une donnée personnelle [Paris, 2007], ce qu’une certaine Christine Albanel aurait du comprendre à l’époque.

La comparaison obligatoire avec l’Allemagne

4. L’Allemagne a en effet interdit l’utilisation de Google Analytics au niveau fédéral mais avec une implémentation différente suivant les Lander ce qui revient à ne pas l’interdire. Les plus mauvaises langues diront que l’Allemagne a fait plier Google mais la vérité est que _anonymizeIp était présente dans le code ga.js avant que l’Allemagne commence à parler d’illégalité.

L’herbe est n’est pas forcément plus verte ailleurs

Une fois passé la parano anti-Google et les gesticulations des fanboys de l’OpenSource, rappelons qu’il existe en effet plusieurs alternatives à Google Analytics, chacune avec leur spécificité.

En règle générale, dites vous que si le système est en interne chez vous, vous devrez gérer la charge au niveau base de données – je pense notamment à Piwik et AWStats. Pour les petits sites, ça va ; pour des sites à plus gros volumes, faut avoir une bonne infrastructure et/ou un bon DSI 😉

Désolé pour la tartine mais sérieusement, faites vos devoirs, éduquez-vous au sujet des cookies – et blindez votre politique de respect de la vie privée sur votre site 😉

Et vous, que faites-vous pour mesurer votre performance Web en respectant la vie privée de vos visiteurs?