Il y a quelques jours, le magazine en ligne norvégien Digi a publié un article dans lequel le Commissaire
Bjørn Erik Thon affirme que Google Analytics pourrait être rendu illégal.
Cet article (je vous laisse traduire, avec Google – l’ironie) a soulevé de nombreuses critiques, tant les données du rapport sur lequel Mr. Thon s’appuie laissent à désirer.
Ce billet d’aujourd’hui fait suites aux différents commentaires que j’ai pu voir dans la blogosphère, dont notamment ce billet chez l’ami Korben, et je tenais à éclaircir plusieurs points.
Récapitulons:
Point de vue légal
La Norvège ne fait en effet pas partie de l’Union Européenne, elle n’est donc pas impactée par la directive sur le respect de la vie privée et de l’utilisation des cookies dont tout le monde parle sans savoir vraiment ce qu’elle contient.
Crédibilité
Bjørn Erik Thon, le commissaire norvégien ne sait pas de quoi il parle. C’est un fait. Il s’est même fait tacler par mon confrère Brian Clifton.
Le point vaguement soulevé par Monsieur Thon porte sur l’utilisation de données personnellement identifiables (PII) sans consentement préalable de l’internaute. Pas de quoi en faire une montagne, c’est dans les conditions d’utilisation de Google Analytics. Vous ne les avez pas lues? Dommage pour vous.
Où l’on reparle de l’adresse IP
Cela fait des années que Google a montré qu’il n’utilisait pas les adresses IP des visiteurs dans d’autres services Google qu’Analytics. Chaque service Google capture ses propres adresses IP.
Si *vraiment* les adresses IP posent problème, adaptez votre code de suivi Google Analytics de la manière suivante:
var _gaq = _gaq || []; _gaq.push (['_setAccount', 'UA-XXXXXXX-YY']); _gaq.push (['_gat._anonymizeIp']); _gaq.push (['_trackPageview']);
_anonymizeIp() aura pour effet de tronquer le dernier octet de votre adresse IP, vous rendant dans la pratique anonyme même si c’est parfois suffisant pour vous rattacher à un pays et/ou un FAI.
De toute façon au niveau légal, on a suffisamment de jurisprudences partout dans le monde qui montrent qu’une adresse IP n’est pas un élément de nature à identifier formellement une personne.
En France, l’IP n’est pas une donnée personnelle [Paris, 2007], ce qu’une certaine Christine Albanel aurait du comprendre à l’époque.
La comparaison obligatoire avec l’Allemagne
4. L’Allemagne a en effet interdit l’utilisation de Google Analytics au niveau fédéral mais avec une implémentation différente suivant les Lander ce qui revient à ne pas l’interdire. Les plus mauvaises langues diront que l’Allemagne a fait plier Google mais la vérité est que _anonymizeIp était présente dans le code ga.js avant que l’Allemagne commence à parler d’illégalité.
L’herbe est n’est pas forcément plus verte ailleurs
Une fois passé la parano anti-Google et les gesticulations des fanboys de l’OpenSource, rappelons qu’il existe en effet plusieurs alternatives à Google Analytics, chacune avec leur spécificité.
En règle générale, dites vous que si le système est en interne chez vous, vous devrez gérer la charge au niveau base de données – je pense notamment à Piwik et AWStats. Pour les petits sites, ça va ; pour des sites à plus gros volumes, faut avoir une bonne infrastructure et/ou un bon DSI 😉
Désolé pour la tartine mais sérieusement, faites vos devoirs, éduquez-vous au sujet des cookies – et blindez votre politique de respect de la vie privée sur votre site 😉
Et vous, que faites-vous pour mesurer votre performance Web en respectant la vie privée de vos visiteurs?
Google Analytics utilise par 80% des sites web mondiaux, qui recolte les faits et gestes des internautes et dressent une base de donnees mondiale tres detaillee sur chaque internaute, cela fait parler quelques commissaires norvegiens qui n’y comprennent rien… ou peut etre justement, qu’ils ont tout compris car ils sont suffisamment detacher de la technique pour se rendre compte de l’enormite de la situation ?
Bonjour Matthieu,
merci pour ton commentaire!
Tu remarqueras qu’à aucun moment je n’ai dit qu’il fallait suivre Google aveuglément 😉
Ce que je critique ici ce sont les déclarations d’un commissaire qui a voulu faire une sortie sans vérifier ses sources.
C’est « normal » d’avoir peur de quelquechose qu’on ne connait/comprend pas mais c’est incompréhensible qu’un responsable de ce niveau ne se renseigne pas plus sur le sujet avant de monter sur sa caisse à savon.
Un autre point dont je n’ai pas parlé: dans le cadre de l’utilisation d’un outil payant, un contrat est signé qui indique les termes de service et l’utilisation qui est faite (ou pas) des données des clients.
C’est le compromis que l’on fait en utilisant Google Analytics comme outil gratuit: c’est gratuit mais en échange on « vend » des informations comme son comportement de visiteur. Si le produit est gratuit pour l’utilisateur, c’est l’utilisateur qui est le produit.
A ce sujet, très bonne vidéo du speech de Moglen à re:publica Berlin 2012.
Après comme je l’indique, on peut anonymiser sa visite (Google Analytics *et* Piwik le proposent).
Amicalement,
Julien
Un point me turlutte… tu mentionnes des alternatives OpenSource mais en fait, tu mélanges peut-être un peu les concepts ici… Si je laisse tomber Google Analytics pour une solution Open Source que j’héberge moi-même, c’est moi qui se retrouve avec des adresses IP et en plus, je peut aisément collecter des infos PII… oh là là… adieu la vie privée de mes visiteurs!
À ceux qui sont parano que Google connaissent leurs secrets, je ne peut que répondre qu’ils peuvent dormir tranquille… Google en a rien à foutre de vous 🙂
Plus sérieusement: Google a répondu à ces points à maintes reprises, les autorités légales et les groupes de pressions l’ont toujours à l’oeil. Cessez votre paranoia et revenez sur terre, ou arrêtez d’utiliser Google et arrêtez de vous plaindre (et vous devriez aussi arrêter d’utiliser tout média social, et toujours utiliser un fureteur en mode anonyme – et même là… votre adresse IP pourra être enregistré!)
Attention Stéphane, si j’ai pu laisser entendre que l’opensource évitait le côté « boite noire », anti-Google, Je reste lucide car les utilisateurs d’opensource ne sont pas forcément les gens épris de liberté qu’on pense – et qu’ils captureront bel et bien des données personnelles. Ils auront juste davantage de contrôle sur la plateforme web analytics.
C’est vrai, Piwik par exemple permet plus de liberté, que ce soit au niveau de la collecte d’informations encore plus détaillées si vous souhaitez, mais aussi plus de liberté pour le respect de la vie privée. Piwik conseille par exemple d’activer anonymization de 1, 2 ou 3 octets de l’IP, effacer les logs apres N semaines, respecter la préférence DoNotTrack, etc.