Nous avons initialement écrit ce blog en 2020. Depuis lors, Google Analytics a fait l'objet d'un examen plus approfondi en Europe. En tant que tel, nous avons actualisé cet article avec des informations à jour pour vous aider à guider votre choix lors de la mise en place d'un nouveau système d'automatisation du marketing ou d'analyse.
2020
Comme le rapporte la BBC, un accord important régissant le transfert des données des citoyens européens vers les États-Unis a été invalidé par la Cour de justice des Communautés européennes (CECJ). Nous recommandons donc aux entreprises d'éviter au plus vite les systèmes d'automatisation du marketing basés sur le système américain.
En effet, le dispositif "EU-US Privacy Shield" permettait aux entreprises de s'engager à respecter des normes de confidentialité plus strictes avant de transférer des données vers les États-Unis. Suite à cela, un défenseur de la vie privée a remis en cause cet accord, arguant que les lois américaines sur la sécurité nationale ne protégeaient pas les citoyens européens du comportement big brother du gouvernement.
Max Schrems, l'Autrichien à l'origine de cette affaire, l'a qualifiée de "victoire pour la vie privée".
Autrement dit, les entreprises devront signer des clauses contractuelles non négociables rédigées par l'Europe pour être utilisées dans des pays autres que les États-Unis. En fait, il s'agit d'une grosse claque pour les plateformes basées aux États-Unis, y compris les systèmes de marketing automatisé.
Éviter les systèmes d'automatisation du marketing américains - Lesquels ?
Jusqu'à présent, ce dispositif de protection de la vie privée entre l'UE et les États-Unis permettait à des organisations américaines telles que HubSpot et Salesforce d'opérer avec un impact minime, voire nul, sur leurs activités, même face au renforcement de la réglementation européenne en matière de protection de la vie privée. Sa validité a été remise en question par la Commission européenne.
Le SGPO (Swedish Government Procurement Office) a déclaré que l'utilisation de tels services par des entités américaines est en violation directe du GDPR. Par conséquent, le Privacy Shield est conçu pour que les entités américaines transfèrent légalement les données des citoyens européens vers les États-Unis d'une manière qui soit conforme aux lois européennes sur la protection de la vie privée.
Cela a donc un impact sur la plupart des grands acteurs américains de l'automatisation du marketing, notamment HubSpot, Salesforce et Marketo.
Les entreprises européennes qui utilisent l'un des services d'automatisation du marketing ou de gestion de la relation client ci-dessus doivent savoir que les données qui leur sont confiées sont stockées et répliquées par les centres de données américains de leur fournisseur.
Les services d'email marketing américains ne semblent pas encore faire l'objet du même traitement. Cependant, toute agence de marketing raisonnable basée en Europe devrait passer dès maintenant à des services européens.
Deux ans après - 2022
Le régulateur français de la protection des données, la Commission nationale de l'informatique et des libertés (CNIL), a déclaré le 20 février 2022 que Google ne garantit pas une protection des données conforme au GDPR. Elle a examiné les circonstances dans lesquelles les données sont envoyées aux États-Unis par Google Analytics, un programme qui permet de savoir combien de fois une personne visite un site web.
Après avoir reçu pas moins de 101 plaintes de NYOB dans les 27 États membres de l'UE et trois États supplémentaires de l'Espace économique européen (EEE) contre 101 responsables de traitement qui auraient transféré des données personnelles aux États-Unis, la CNIL et ses homologues européens ont lancé une enquête.
La Cour de justice de l'Union européenne a émis un arrêt considérable en 2020, rehaussant la barre pour les défenseurs de la vie privée de la région après que la CJUE a remis en question les lois de surveillance américaines et les garanties en place pour protéger les données des personnes contre les accès non désirés. Le transfert des données des internautes vers les États-Unis, selon la CNIL, est en violation de l'article 44 et suivants du GDPR, qui régit les transferts de données personnelles vers des pays étrangers ou des organisations internationales qui ne fournissent pas de garanties similaires en matière de protection de la vie privée.
Malgré les nouvelles procédures mises en place par Google pour encadrer le flux de données, le processus existant est insuffisant pour empêcher les agences de renseignement américaines d'obtenir ces données, selon le rapport.
La CNIL a ordonné à la direction du site web faisant l'objet de l'enquête de se conformer au GDPR en cessant d'utiliser Google Analytics ou en adoptant une méthode qui n'entraîne pas de transfert de données en dehors de l'UE.
Le mois dernier, le régulateur autrichien de la protection des données a également déclaré que les transferts de données entre l'UE et les États-Unis par Google Analytics étaient illégaux. Au début du mois de janvier, le contrôleur européen de la protection des données a rendu une décision constatant que l'utilisation de Google Analytics par le Parlement européen sur son site Web de test COVID était contraire à la législation européenne sur la protection des données. À la suite de ces changements, les services de Google Analytics dans l'Union européenne pourraient être progressivement supprimés.
La solution ? Systèmes d'automatisation du marketing GDPR
Matomo analytics
Matomo est une alternative à Google Analytics qui protège vos données et la confidentialité de vos clients. Il s'agit d'un logiciel d'analyse web robuste qui vous offre un contrôle total sur vos données. Vous disposez d'un contrôle total sur la manière et l'endroit où sont stockées les données confidentielles. Vos clients vous seront reconnaissants de protéger leurs informations personnelles; avec la tranquillité d'esprit de savoir que votre site Web est conforme au GDPR et au CCPA. Vous obtenez plus d'informations, un accès API et d'autres avantages avec Matomo.
Automatisation du marketing Mautic
A la base, Mautic est un outil d'emailing (open source) avec des capacités d'automatisation de marketing plus étendues. Le programme comprend toutes les capacités nécessaires, telles que la gestion des prospects, la gestion des campagnes, la gestion des contacts et des e-mails, et la production d'e-mails réactifs. Actuellement, Mautic est la seule plateforme auto-hébergée pour l'automatisation du marketing. Cela remplace facilement le besoin de systèmes comme HubSpot, Salesforce et Marketo.
Et comme Mautic est open source, son code est accessible au public pour que la communauté des développeurs puisse l'examiner et le sécuriser. Le système reste sous votre contrôle exclusif. Les tiers n'ont pas accès au data-mine sans le consentement clair et explicite de vos contacts.
Nous l'utilisons et sommes donc fiers de soutenir des systèmes open-source fiables tout en évitant les systèmes d'automatisation du marketing américains.
Si vous êtes intéressé par l'adoption de systèmes à code open-source et conformes au GDPR.