Le Retour à la Normale (Temporaire ?)

• 10 Juillet 2023  : L’Accord « Data Privacy Framework » (DPF)

  • L’événement : La Commission Européenne adopte une nouvelle décision d’adéquation avec les États-Unis.

  • Ce qui change : Ce n’est pas que la CNIL « ferme les yeux », c’est que la loi a changé. Les transferts vers les entreprises américaines certifiées (dont Google) sont à nouveau légaux sans outils supplémentaires. Google Analytics redevient utilisable « simplement ».

  • Source : Commission Européenne – Data Privacy Framework

L’Ère des Gatekeepers (Actuelle)

• 6 Mars 2024  : Google Consent Mode v2 (Obligation DMA)

  • L’événement : Entrée en application du Digital Markets Act (DMA). Google, désigné comme « Gatekeeper » (contrôleur d’accès), oblige les annonceurs à lui envoyer la preuve du consentement (via des signaux techniques) pour continuer à utiliser les fonctions publicitaires (Audiences, Retargeting) de Google Ads et GA4.

  • L’impact : Si le « Consent Mode v2 » n’est pas implémenté, les audiences publicitaires se vident.

  • Source : Google – Mises à jour du mode Consentement

La Crise Google Analytics

• 10 Février 2022 : La « Mise en Demeure » (GA déclaré illégal)

  • L’événement : Suite à des plaintes de l’association NOYB, la CNIL (et ses homologues autrichiens) conclut que l’utilisation de Google Analytics entraîne des transferts de données illégaux vers les États-Unis (car les services de renseignement US pourraient y accéder, voir CLOUD Act).

  • Note : La CNIL publie parallèlement une liste d’outils pouvant être exemptés de consentement (comme Matomo ou Piano Analytics).

  • Source : CNIL – Utilisation de Google Analytics et transferts de données

• 7 Juin 2022  : La solution technique complexe (Proxyfication)

  • L’événement : Face à la panique des entreprises, la CNIL précise que Google Analytics pourrait être utilisé, mais uniquement si les données passent d’abord par un « serveur mandataire » (Proxy) qui anonymise tout avant d’envoyer aux USA.

  • Réalité : Solution très coûteuse et complexe, peu adoptée par les PME.

  • Source : CNIL – Questions-réponses sur la mise en demeure

Le Big Bang Réglementaire

25 Mai 2018 : Entrée en vigueur du RGPD

• L’événement : Le Règlement Général sur la Protection des Données devient applicable dans toute l’UE.
• L’impact : Le consentement doit devenir « libre, spécifique, éclairé et univoque ». La charge de la preuve incombe au propriétaire du site. 

16 Juillet 2020 : L’Arrêt « Schrems II » (Le déclencheur du séisme)

• L’événement : La Cour de Justice de l’UE invalide le « Privacy Shield » (l’accord qui permettait de transférer les données vers les USA).
• L’impact : C’est cet événement juridique qui rendra, par effet domino, Google Analytics illégal deux ans plus tard.
• Source : CJUE – Arrêt Schrems II

Le Durcissement (La fin du « Soft Opt-in »)

1er Avril 2021 : La fin de la récréation (Date butoir CNIL)

• L’événement : Fin du délai de mise en conformité avec les nouvelles lignes directrices de la CNIL (publiées en octobre 2020).
• Ce qui change (Source : CNIL – Lignes directrices modificatives 2020)
  1. Continuer à naviguer ne vaut plus acceptation.
  2. Le bouton « Tout Refuser » doit être aussi visible et facile d’accès que le bouton « Tout Accepter ».
  3. Les CMP (Consent Management Platforms) deviennent incontournables.
• Impact : perte majeure de trafic, qui devient impossible à suivre. En conséquence, les départements marketing vont perdre en efficacité (ex : les audiences négatives ne sont plus aussi fines).

L’Ère de la Tolérance (L’ancêtre)

5 Décembre 2013  : La naissance du bandeau Cookies

• • L’événement : La CNIL publie une recommandation demandant aux sites d’informer les utilisateurs de l’utilisation de cookies.

  • L’état des lieux : C’est l’époque du consentement « implicite ». Si l’utilisateur continue de scroller sur la page (le soft opt-in), on considère qu’il a accepté. Le bandeau est purement informatif.

  • Source : CNIL – Recommandation « Cookies » 2013 (Page d’historique).

Les éditeurs de logiciels (outils site-centrics et outils des régies publicitaires notemment), qui doivent s’assurer que les utilisateurs de leurs outils ont les moyens de se conformer à la juridiction en cours sur le territoire dans lequel ils opèrent, et à l’audience à laquelle ils s’adressent. En conséquence, nous sommes passés d’un ‘one fits all’, à une multiplication des options permettant d’opérer en conformité avec les exigences légales.

Ici, mettre une illustration de GA4 : comment mettre son site en conformité 

La CNIL prononce régulièrement des sanctions à encontre des contrevenants. Vous pouvez les retrouver sur cette page 

Le Règlement Général sur la Protection des Données (RGPD) est la référence mondiale. Il est extraterritorial : si une entreprise américaine cible des citoyens européens, elle doit s’y plier.

• Principe clé : L’Opt-in (consentement préalable explicite).

• Source officielle : CNIL (France) et EDPB (Europe).

Il existe une exception française très spécifique qui permet de contourner l’obligation de consentement (le bandeau cookies) pour certains outils d’analyse.

• C’est quoi ? Un régime de faveur accordé par la CNIL qui permet de déposer des cookies de mesure d’audience sans que l’internaute n’ait cliqué sur « Accepter ».

• À quoi ça sert ? À ne pas perdre 100% de sa visibilité. Si un utilisateur refuse tout, vous pouvez quand même savoir qu’il est venu, quelles pages il a vues, etc. Cela permet de garder des statistiques fiables sur le trafic global.

• Les conditions (drastiques) :

• Finalité exclusive : La donnée ne doit servir qu’à la mesure d’audience (interdiction de l’utiliser pour du retargeting ou de la partager avec d’autres sites).

  1. Anonymisation : L’adresse IP doit être anonymisée (impossible de géolocaliser précisément la personne).

  2. Durée de vie limitée : 13 mois pour les cookies, 25 mois pour les données.

  3. Pas de « Google Analytics » par défaut : La plupart des versions standard de GA4 ne sont pas éligibles car Google réutilise souvent les données pour améliorer ses propres services. Des outils comme Matomo (bien configuré) ou Piano Analytics (AT Internet) sont souvent cités comme solutions éligibles.

Le Scénario : « Texas BBQ Sauce Co. » 🇺🇸

Imaginez une PME basée à Austin, Texas, qui vend des sauces barbecue artisanales.

• Le site web : Il est 100% en anglais.
• La devise : Tous les prix sont affichés en Dollars ($).
• Le numéro de téléphone : Un +1 (USA) sans indicatif international clair.
• Le raisonnement du CEO : « Je suis une boîte texane, mon site est en anglais, je vends en dollars. Je ne cible pas l’Europe, donc le RGPD ne me concerne pas. »

🪤 Le Piège (L’élément qui fait basculer)

Le marketeur digital de l’entreprise lance une campagne Google Ads ou Facebook Ads. Pour maximiser la portée, il configure le ciblage géographique sur « Monde entier » (ou oublie d’exclure l’Europe) et active le pixel de retargeting.

Parallèlement, dans le tunnel de commande du site, dans le menu déroulant « Shipping Country » (Pays de livraison), la <>France ou l’Allemagne figurent dans la liste.

⚖️ Le Verdict Juridique

L’entreprise est en tort et doit appliquer le RGPD.

Pourquoi ? Parce qu’elle a passé la frontière invisible entre « être accessible » et « cibler ».

• L’intention manifestée (Critère de l’offre de biens) : Même si le site est en anglais (langue internationale), le simple fait de proposer la livraison vers la Francedans le formulaire de commande prouve l’intention commerciale de vendre à des consommateurs français.
• Le profilage (Critère du suivi du comportement) : En laissant le Pixel Facebook actif pour les visiteurs venant d’IP françaises (via la campagne « Monde »), l’entreprise monitore le comportement de personnes sur le sol européen.

Ce qui n’aurait pas déclenché le RGPD (Le contre-exemple)

Si un touriste français, rentré à Paris, va sur le site <i »>Texas BBQ, qu’il peut le consulter, mais que :</i »>

• Le site ne livre qu’aux USA et Canada.
• Aucune publicité ne cible l’Europe.
• Le site ne mentionne aucune info spécifique à l’Europe (pas de prix en Euros, pas de mentions légales pour l’UE).

Dans ce cas précis, le site est seulement accessible. Le RGPD ne s’applique pas. Le commerçant texan peut ignorer les données de ce visiteur français.

📝 Checklist

Pour éviter ce piège, un marketeur opérant depuis les USA (ou utilisant un outil US) doit se poser 3 questions :

• La Logistique : Est-ce que je livre en Europe ? (Si oui = RGPD).
• Le Marketing : Est-ce que mes campagnes de pub incluent des pays européens ? (Si oui = RGPD).
• La Technique : Est-ce que je traque les IP européennes sans filtrer ? (Si oui = Risque).

La solution radicale utilisée par certains sites US : Le « Geo-blocking ». Si vous essayez d’accéder au site du journal Los Angeles Times ou <>Chicago Tribune depuis la France, vous avez parfois un message d’erreur : « Unavailable in your region ». Ils préfèrent bloquer tout le trafic européen plutôt que de se mettre en conformité avec le RGPD. C’est extrême, mais légal.

Il n’y a pas de loi fédérale unique équivalente au RGPD. C’est une gestion par État.

• CCPA / CPRA (Californie) : La plus proche du RGPD, mais avec une différence majeure : elle fonctionne souvent sur l’Opt-out (je collecte par défaut, l’utilisateur doit demander à ne pas voir ses données vendues via le lien « Do Not Sell My Personal Information »).

• Autres États : Virginie (VCDPA), Colorado (CPA), etc.

• Source officielle : California Privacy Protection Agency (CPPA).

• Brésil (LGPD) : Très inspiré du RGPD.

• Canada (LPRPDE / PIPEDA) : En cours de modernisation pour se rapprocher des standards européens.

• Chine (PIPL) : Très strict, notamment sur la sortie des données du territoire chinois.

Le principe : Cette loi permet aux forces de l’ordre américaines (fédérales), munies d’un mandat, de contraindre les entreprises technologiques américaines (Google, Microsoft, AWS, Meta…) à fournir les données de leurs utilisateurs.

La portée (Le piège) : La loi est extraterritoriale. Peu importe que la donnée soit stockée physiquement au Texas, à Paris ou à Dublin. Si l’entreprise qui gère le serveur est américaine (ex: Microsoft Ireland), elle doit livrer la donnée aux autorités US si on le lui demande.

📌Si les données sont stockées directement sur le sol américain, les autorités y ont accès de plein droit via le droit américain classique.

Le texte de loi (Code U.S.) :

• • Titre : 18 U.S. Code § 2713 – Required preservation and disclosure of communications and records

  • Lien officiel : Office of the Law Revision Counsel (US House of Representatives)

  • C’est ici qu’on trouve la phrase clé : « regardless of whether such communication, record, or other information is located within or outside of the United States. »

• La page de ressources du Ministère de la Justice US (DOJ) :

  • Elle contient le texte intégral (PDF) et des explications officielles.

  • Lien : U.S. Department of Justice – CLOUD Act Resources

📌 C’est l’autre loi critique. Elle autorise les agences de renseignement (comme la NSA) à surveiller les communications des personnes non-américaines situées hors des États-Unis (donc vos clients européens), sans mandat individuel, dès lors que les données transitent par des fournisseurs de services américains.

La « Section 702 » fait partie du Foreign Intelligence Surveillance Act (FISA). Elle est codifiée dans le Titre 50 du Code des États-Unis.

Le texte de loi (Code U.S.) :

• • Titre : 50 U.S. Code § 1881a – Procedures for targeting certain persons outside the United States other than United States persons

  • Lien officiel :  Office of the Law Revision Counsel (US House of Representatives)

• La page de transparence du Renseignement US (Intelligence.gov) :

  • Ce site gouvernemental explique (de manière très pédagogique) comment la communauté du renseignement utilise cette loi. C’est souvent plus digeste que le texte de loi brut.

  • Lien :  FISA Section 702 – Intelligence.gov