BLOG | Google Analytics, Adobe Analytics, AT Internet… Quelles alternatives pour permettre aux services publics de garantir la souveraineté des données utilisateurs ?

Le 16 mars 2023 sonne la fin du marché entre les entités gouvernementales et la société AT Internet. Cela implique une transition importante à mener pour les institutions publiques vers la mise en place d'un nouvel outil d'analyse des données pour leurs différents sites web. 

Un véritable défi pour les services de l'État ! Mais aussi pour Klee qui se tient à leurs côtés pour les accompagner et faciliter cette migration, vitale pour la protection des données en France. 

Qu’est-ce que c’est ?  

En quelques mots : un Tag Management System (ou Système de Gestion de Balise) est destiné à mesurer le trafic des sites. Il propose également des fonctionnalités marketing (rapports en temps réel, ciblage des canaux performants dans le parcours client, ou encore identification des produits les plus commandés). Ce type d’outil est précieux pour adapter les interfaces web et les services proposés aux besoins des utilisateurs finaux.  

Pourquoi l'enjeu est-il important ? 

Leader européen de l'analyse des données, la société bordelaise AT Internet est passée sous pavillon américain il y a quelques mois, à la suite de son acquisition par le groupe Piano. Ce dernier ayant pour ambition de concurrencer les géants US Google et Adobe dans ce secteur. 

« En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées. » - Extrait de l'article de la CNIL du 10 février 2022 sur l'utilisation de Google Analytics et le transfert des données vers les États-Unis. 

Ce mariage de raison est loin d'être anodin puisque la question du traitement des données personnelles et de la souveraineté des États européens dans ce domaine est primordiale depuis la mise en application du RGPD en mai 2018. En France, la CNIL reste particulièrement attentive et met en garde : elle considère comme illégal le transfert des données vers les USA et pointe du doigt notamment l'outil Analytics de Google.  

C'est dans ce contexte sensible que les services de l'État doivent implémenter une nouvelle solution d'analyse de leurs sites. Chaque ministère a ainsi sélectionné un remplaçant via un appel d’offres public. Matomo déjà bien connu sur le marché, mais aussi Eulerian. Cet éditeur français est indépendant, et héberge 100 % des données de ses clients en Europe, sur sa propre infrastructure et sans l'aide d'un cloud tiers. De plus, contrairement à Google Analytics, la plateforme d'analyse et de collecte proposée par Eulerian est, elle, reconnue comme sûre par la CNIL. Son fonctionnement dit « exempté de consentement » a été validé par la Commission. La plateforme d'Eulerian peut donc capter et traiter le strict minimum d'informations en cas de non-consentement de l'utilisateur, et ce, dans le cadre prévu par la loi. 

Pourquoi un module Drupal Eulerian ?  

De nombreux sites du service Public se basent sur le CMS open source Drupal, reconnu pour sa robustesse, sa sécurité et sa flexibilité. Bien qu’étant très active, la communauté Drupal ne disposait pas de module dédié à la mise en place d’Eulerian. Cet outil est une alternative solide et vertueuse aux outils de Google, Adobe et autres. Pour recueillir le consentement sur un site Drupal, Eulerian propose notamment un interfaçage avec le module de CMP (Consent Management Platform) Tarte au Citron, dont Klee maintient sa propre version en Drupal auprès de la communauté. 

Ainsi, c’est dans un souci d'industrialisation que nous proposerons un nouveau module communautaire facilitant la connexion à Eulerian, compatible sur n'importe quel site en Drupal 8, 9 ou 10. La gestion des évènements et du taggage des pages sera facilitée par les fonctionnalités offertes par les API Drupal. Une sorte de composant plug-and-play facilement configurable peut rapidement être adapté au besoin de chaque site, de chaque client.  

Le développement de ce module fait intervenir un niveau d’expertise important afin de répondre aux exigences de sécurité et d’adaptabilité de la réglementation, mais aussi, de la communauté Drupal. Proposer ce module à la communauté permettra de mettre à profit l'énergie et la vitalité de cette dernière, tout en jouant le jeu de la flexibilité de l'open source. 

Ce nouveau service va ainsi venir compléter notre solution de sites web clé en main « EvoGouv », destinée aux services de l'État et respectant toutes les réglementations (protection des données RGPD, sécurité RGS, accessibilité numérique RGAA, respect de la charte Etat DSFR, et écoconception des services numériques RGESN). 

Fort bien, mais c'est pour quand ? 

Une première version simple du module sera proposée à la communauté qui pourra ensuite prendre part au travail de test et de développement.  

Une version stable devrait voir le jour d’ici quelques semaines ! On vous en dira plus à ce moment-là !