Comment fonctionnent les logiciels Google Analytics et Matomo ? À quoi servent-ils ?
Google Analytics et Matomo sont deux logiciels de web analytique mesurant l’audience de sites Internet et permettant aux administrateurs d’évaluer les comportements des internautes et leur parcours sur les sites Internet concernés.
Pour étudier l’audience d’un site Internet, le plus généralement, un code de suivi JavaScript est installé sur chacune de ses pages. Lors de la visite de l’internaute, des cookies sont stockés sur son terminal et/ou navigateur et plusieurs données sont collectées et consultables en temps réel via un tableau de bord en ligne et des rapports de données. Sur son interface, l’administrateur peut découvrir comment le visiteur s’est rendu sur le site (accès direct, en passant par un moteur de recherche ou par le biais d’un autre site), consulter le nombre de visites sur une période, le nombre de visiteurs uniques (nouveaux), la durée moyenne des visites, la localisation géographique des visiteurs, les pages ayant été ouvertes, le taux de rebond (pourcentage attendu le plus faible possible comptabilisant les visiteurs n’ayant consulté qu’une page sur un site) ou encore le taux de conversion (ratio entre les actions des internautes et le nombre de visites total sur une période donnée).
L’analyse de ces indicateurs pourra donner lieu à l’optimisation des contenus et à la mise en œuvre d’actions marketing efficaces pour répondre de manière adaptée aux besoins des utilisateurs. L’objectif final est d’orienter la stratégie marketing, d’améliorer la performance mais aussi le référencement naturel du site Internet.
Quelle différence entre ces deux outils ?
Bien qu’ils servent les mêmes objectifs pour leurs utilisateurs, Google Analytics et Matomo sont différents sur plusieurs points.
Les données collectées via Matomo sont anonymisées. L’administrateur ne pourra pas connaître certaines informations sur l’internaute ni même les sites qu’il aura consultés par ailleurs. Les cookies utilisés par Matomo ne nécessitent donc pas d’afficher un bandeau de consentement. Google Analytics permet d’en savoir plus sur les utilisateurs : catégories d’âge, sexe, centres d’intérêt…
Du côté de Google Analytics, un échantillonnage de données peut s’appliquer dans certaines conditions. Au-delà d’une certaine quantité de données collectées, le logiciel est amené à se référer à un sous-ensemble de données pour refléter la globalité des données.
Avec Matomo, c’est l’administrateur lui-même qui détient les données et qui les stocke sur son serveur. De son côté, Google Analytics les conserve sur les serveurs de Google, aux États-Unis. Ces données peuvent ensuite être exploitées pour du ciblage publicitaire, sans que la personne concernée n’en ait été forcément avertie.
Pour les sites Internet de certains secteurs, dont la collecte de données peut s’avérer plus sensible (santé, finances, enseignement…), Matomo permet d’utiliser l’analyse des logs (journaux des accès) plutôt que l’installation d’un code de suivi. Cette fonctionnalité permet de collecter des données suffisantes pour l’analyse de l’audience tout en assurant un niveau de sécurité plus important.
Google Analytics présente deux atouts majeurs justifiant sa grande popularité : sa simplicité d’utilisation et son accessibilité depuis un compte Adwords, Google Webmaster Tools ou Gmail. Gratuit (la version gratuite de, il peut être facilement relié à un site Internet.
Focus sur la protection des données personnelles
Avec l’entrée en vigueur sur le territoire de l’Union européenne du Règlement général de protection des données (RGPD), en mai 2018, les internautes européens peuvent s’appuyer sur une législation stricte pour faire respecter leur vie privée et protéger leurs données personnelles. Les administrateurs de sites Internet doivent être en mesure de se conformer à différents droits, dont celui au consentement. Cela vaut pour l’utilisation des cookies et traceurs utilisés par les outils de mesure d’audience tels que Matomo et Google Analytics, ce dernier utilisant les données collectées à ses propres fins, notamment pour effectuer du ciblage publicitaire.
La mise en place d’un bandeau de consentement pour l’utilisateur peut amener ce dernier à quitter un site Internet dès son arrivée, ce qui peut entraîner une baisse significative de la fréquentation. Dans le cas de Google Analytics, l’administrateur du site Internet devra faire apparaître ce bandeau informatif et de recueil de consentement dès l’arrivée du visiteur en page d’accueil. Selon la législation de la Commission nationale de l’informatique et des libertés (CNIL), les cookies doivent être conservés durant une période de moins de 13 mois. Or, l’utilisateur de Google Analytics ne pourra réduire cette durée qu’à 14 mois. Selon certaines sources Internet, il est possible de paramétrer Google Analytics afin de contourner cette obligation, en réduisant la période de conservation des cookies et en rendant anonymes les données collectées. Cette procédure peut tout de même s’avérer complexe et exiger de la part de l’administrateur des compétences techniques.
Pour éviter tout désagrément, il est aussi possible d’utiliser un outil de mesure d’audience web exempté de demande de consentement. C’est le cas de Matomo, l’une des solutions recommandées par la Commission nationale de l’informatique et des libertés (CNIL).
Par ailleurs, puisque les données collectées via Google Analytics sont transférées et stockées aux États-Unis, un autre problème se pose. En effet, pour que les données personnelles puissent être transférées vers un pays hors Union européenne, il faut que ce dernier assure un niveau de protection équivalent à celui de l’UE, ce qui n’est pas le cas des États-Unis, où les données personnelles font l’objet d’une surveillance de la part des services de renseignement. À noter qu’une dizaine de pays ont été jugés adéquats en matière de protection des données personnelles par la Commission européenne et peuvent faire l’objet de transferts libres : Argentine, Nouvelle-Zélande, Suisse, Andorre…
Le cas des États-Unis, jugé mauvais élève en matière de protection des données
Avec les enjeux du commerce international et ceux liés à la révolution numérique, difficile de se passer des États-Unis sur le web. En juillet 2000, la commission européenne et le Département du commerce des États-Unis avait conclu au programme Safe Harbor. Ce dernier permettait aux entreprises et organisations américaines d’attester de façon individuelle qu’elles assuraient un niveau de protection des données personnelles équivalent à celui de l’UE. En octobre 2015, la Cour de justice de l’Union européenne a prononcé l’annulation de cet accord Safe Harbor. Cette décision était alors motivée par deux événements : les révélations du lanceur d’alerte Edward Snowden sur des programmes de surveillance de masse des autorités américaines mettant en jeu la protection des données personnelles de citoyens européens et la plainte déposée contre Facebook par l’activiste Max Schrems.
En juillet 2016, la Commission européenne et le gouvernement américain avait conclu un autre accord se substituant au Safe Harbor. Il s’agissait du Privacy Shield (« bouclier de protection des données »), qui à son tour, devait encadrer les échanges de données personnelles transatlantiques. Quatre ans plus tard, le 16 juillet 2020, la Cour de justice européenne prononçait l’arrêt Schrems II, invalidant ce nouvel accord. Encore une fois, cette décision découle du combat poursuivi par l’activiste Max Schrems, jugeant insuffisant le niveau de protection des données aux États-Unis.
En attendant de pouvoir remplacer le Privacy Shield, pour pouvoir continuer de transférer et stocker des données aux Etats-Unis, les entreprises, parmi lesquelles les géants du web, doivent désormais s’appuyer sur d’autres instruments juridiques, comme les clauses contractuelles type, dont les modèles ont été mis à jour par la Commission européenne en juin 2021. Les exportateurs et importateurs de données personnelles doivent s’assurer que le pays les recevant est en mesure de respecter le niveau de protection requis par la législation européenne. Si cela est rendu impossible, les organismes devront prévoir des mesures supplémentaires pour atteindre un niveau de protection équivalent à celui appliqué dans l’Espace économique européen.
En 2017, Max Schrems a co-fondé l’association None of your business (Noyb) pour faire appliquer le droit européen et le respect des libertés sur Internet. Un mois après l’invalidation du Privacy Shield, en août 2020, l’association a déposé 101 plaintes dans 30 pays de l’UE et de l’Espace économique européen à l’encontre de différentes entreprises. L’association leur reprochait de continuer à transférer des données vers les États-Unis, principalement via Google Analytics et Facebook connect. L’organisation plaignante expliquait que l’élaboration de clauses contractuelles types ne peuvent pas toujours s’appliquer pour les États-Unis. « La CJUE (Cour de justice de l’Union européenne N.D.L.R.) a clairement indiqué que les SCC (Standard contractual clauses) ne peuvent être utilisées si le destinataire aux États-Unis est soumis aux lois de surveillance américaines (telles que la FISA 702) », peut-on lire sur le site Internet de Noyb. En août 2021, après avoir averti plus de 560 d’entreprises de leur obligation à se conformer au RGPD en matière de cookies, Noyb a déposé 422 plaintes auprès de dix autorités européennes de protection des données. L’association se fixe pour objectif de poursuivre la chasse aux contrevenants et d’examiner 10.000 sites Internet et leur gestion des cookies sur une période d’un an.
En bref, Google Analytics ou Matomo ?
Matomo
Google Analytics
