Depuis le 25 mai 2018, toute entreprise disposant d’un site internet est soumise à un ensemble d’obligations, notamment en matière de transparence, en vertu du Règlement Général relatif à la Protection des Données (RGPD). En plus de cela, et de manière complémentaire, les éditeurs de sites web français, sont également soumis aux dispositions de la Loi Informatique et Libertés modifiée qui vient notamment impacter la gestion des consentements des utilisateurs sur les sites, plateformes et applications.
De manière générale, l’ensemble des règles en matière de conformité numérique, recommandations et bonnes pratiques sont en constante évolution et peuvent avoir un impact important sur la performance des sites internet, des plateformes et des applications mobiles. En témoigne, par exemple, les différentes positions des autorités de contrôle nationale sur l’utilisation de Google Analytics dans le courant de l’année 2022.
Cette conformité numérique implique donc de répondre à des obligations légales, de mettre en œuvre des recommandations et de suivre des bonnes pratiques tout en portant une attention particulière aux outils permettant la mise en conformité présents sur les sites. Mais tous ces éléments liés à des obligations légales ont-ils un impact sur l’efficacité du référencement des sites ?
L’objectif de cet article est d’explorer les enjeux pratiques de la conformité numérique réglementaire et son impact sur le référencement. L’emphase sera placée sur les principes de mise en conformité qui pourraient avoir un impact direct ou indirect sur le SEO, ainsi que les perspectives de la prise en compte de la conformité par les algorithmes de référencement.
Des enjeux règlementaires pour un site conforme
Comme indiqué en introduction, les entreprises sont soumises à différentes obligations découlant notamment du RGPD. Mais quels sont les principes issus de la règlementation qui ont un impact concret sur la conformité des sites ?
Éléments à retenir pour cette première partie :
- La mise en conformité des sites, plateformes et applications est obligatoire.
- Un ensemble d'éléments obligatoires doivent être implémentés et contrôlés pour avoir un site conforme (listes présentes dans l'article).
- Des outils existent pour mettre en conformité un site. Leur utilisation n'implique pas que le site sera nécessairement conforme (cf. outils GOOGLE dans certains cas).
- La transparence (donner les bonnes informations au bon moment à l'utilisateur) est primordiale pour une bonne mise en conformité au RGPD.
La conformité numérique c’est répondre à des obligations légales
Le premier élément de conformité qu’il est essentiel de rappeler est le périmètre d’application des règles relatives à la protection des données personnelles. Pour résumer, dans un premier cas de figure, si l’entreprise qui dispose de son site internet a son siège localisé sur le territoire de l’Union Européenne, elle doit respecter les obligations issues du RGPD et par extension les lois nationales applicables. Peu importe que sa clientèle ou que ses utilisateurs soient européens ou situés en dehors de l’Union Européenne.
Frédéric Le Corre
DG et Co-fondateur STEREDENN
Bonjour,
Merci de cet article. Il est indiqué dans celui-ci qu’à date, un site utilisant Google Analytics (GA4) devra obtenir le consentement de l’utilisateur. J’avais en tête que depuis le 7 juin 2022 (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics), l’utilisation de Google Analytics était proscrite, à moins d’utiliser une technologie server-side.
Qu’en est-il réellement ?
Bonjour,
Merci à vous. Effectivement en juin dernier la CNIL s’est prononcée sur l’utilisation de Google Analytics et de la mise en place de proxy. Cependant, il y a plusieurs problèmes selon moi concernant cette communication. Le premier, c’est qu’à aucun moment la CNIL n’a indiqué sur quelle version d’Analytics elle se fonde pour avancer le fait que des données personnelles sont communiquées sur des serveurs de Google et qui impliquent donc un transfert de données hors UE potentiellement. Le second, c’est que Google a déposé depuis 2021 un dossier auprès de la CNIL afin de faire valider sa solution comme étant dispensée du recueil de consentement. Pour cela, la solution ne doit pas recueillir de données personnelles à commencer par l’adresse IP de l’utilisateur. Or, selon les déclarations de Google et le centre d’administration d’Analytics, il nous est exposé qu’aucune donnée personnelle n’est traitée et l’adresse IP de l’utilisateur est directement anonymisée. Google n’a semble-t-il jamais eu de retour sur ce dossier.
Au regard de ces éléments, la mise en place d’un proxy pour utiliser GA4 ne me semble pas pertinente puisqu’a priori aucune information personnelle n’est envoyée vers les serveurs de Google. Nous ne sommes pas à l’abri d’une analyse contraire de la CNIL sur ce point, mais je pense que si des actions avaient dû être prises contre des sites utilisant GA4 nous aurions déjà eu des sanctions de prononcées.
Dernier point, même si du point de vue de la protection des données Google n’est pas irréprochable, concernant les solutions de mesure d’audience je pense qu’un fort lobbying européen des plateformes concurrentes est venu influencer cette prise de position de la CNIL. Un sujet comme le Google reCAPTCHA est à mon sens beaucoup plus impactant du point de vue de la protection des données mais n’a été qu’effleuré du doigt par l’autorité de contrôle.
Pour info, j’ai également rédigé un article consacré au cas GA4 dispo ici : https://steredenn.io/cnil-conformite-google-analytics
J’espère que ces éléments auront permis de répondre à vos interrogations.
Bonjour,
Je vous remercie de votre réponse, très argumentée. Oui, ça me permet de nuancer mon discours auprès de mes clients concernant Universal Annalytics et GA4 ; et au cas où, je déploie en parallèle Matomo pour les sites de mes clients.