Depuis quelques semaines, maintenant, la tension entre la CNIL et le géant Américain Google ne faiblit pas. En effet, la commission a mis en demeure Google Analytics le 10 février 2022. Et même si la procédure a été anonymisée le nom de l’outil ciblé a été rapidement connu du grand public.
Historique des avis CNIL pour Google Analytics
Le privacy Shield retoqué par la cour de justice européenne
Pour mettre en demeure Google, la commission s’appuie sur une décision de la Cour de justice de l’Union européenne qui en date du 16 juillet 2020 a « cassé » le Privacy Shield au motif que ce transfert de données entre l’UE et les USA n’offrait pas de garantie suffisante pour la protection des données personnelles des résidents européens.
Une fois le jugement rendu public, l’association NOYB a donc pu déposer une centaine de plaintes concernant des sites internet qui utilisaient l’outil Google Analytics au motif que les données et la société mère sont hébergées aux Etats-Unis.
Peut-on encore utiliser Google Analytics dans le respect du RGPD ?
Pour tenter de répondre à cette question nous allons aborder l’utilisation de l’outils d’analyse sous plusieurs angles.
Un paramétrage de Google Analytics est il possible ?
Le premier réflexe à la lecture de la décision de CNIL est de trouver un paramétrage d’Analytics pour être conforme au jugement de la CEJ en conservant les données dans l’Union européenne.
Malheureusement, cette fonctionnalité n’existe pas et l’ensemble des données restent stockées aux USA ou des entreprises tierces peuvent avoir accès aux données des utilisateurs sans leur consentement.
En effet, il existe des lois américaines qui permettent à des entreprises ou à différents services de l’Etat d’avoir accès à vos informations sans vous en avertir et sans que le but de cet accès soit connu. On pense par exemple au Cloud Act.
Une modification des conditions d’utilisation de Google Analytics peut-elle suffire ?
Une solution proposée par Google a été la mise en place de mesures complémentaires notamment d’ordre juridique avec une modification des clauses contractuelles types informant les usagers que les données sont notamment stockées aux USA ainsi que de leur possible usage le tout couplé à une réorganisation technique.
Après analyse la CNIL a estimé que ces mesures ne sont pas suffisantes pour assurer une réelle protection des données personnelles traitées.
Vers une mise en place de pseudonymisation ou d’anonymisation des données ?
Un bon exemple pour comprendre ce qui oppose la CNIL et Google Analytics, est la différence entre la pseudonymisation des données e l’anonymisation des données.
La pseudonymisation des données est une procédure qui remplace vos informations identifiantes par une autre information qui n’est pas relative à votre identité. Par exemple, votre nom et prénom sont remplacés par un numéro, ou un identifiant autre.
Alors que l’anonymisation des données consiste à rendre en pratique impossible toute identification d’une personne. Ces données personnelles sont effacées et ne sont pas reliées à un alias ou numéro.
Le risque avec la pseudonymisation des données, c’est que vos données peuvent être recoupées avec plusieurs outils. En plus de Google Analytics, vous utilisez sûrement une solution Google Marketing, et ces deux outils croisent leurs données notamment votre adresse IP qui permettra donc de relier votre pseudo professionnel à des infos personnelles.
Quelles sont les solutions proposées par la CNIL pour utiliser Google Analytics ?
La commission essaie d’être force de proposition pour accompagner les nombreux utilisateurs de Google Analytics
Le consentement explicite des personnes
Il existe dans le RGPD un article qui permet en informant explicitement le risque de transfert de données aux usagers de votre site de permettre à ceux-ci de l’accepter et donc d’utiliser votre site en ayant connaissance des risques. Néanmoins, cette disposition est prévue pour être appliquée de façon non-systématique : concrètement, elle ne peut pas devenir la règle générale et ne doit pas être mise en place de façon pérenne pour l’ensemble de votre site web.
Le recours à un serveur proxy
Autant vous prévenir, le recours à un serveur proxy est une solution qui peut s’avérer coûteuse et pas évidente à mettre en place au quotidien.
Pour résumer, un serveur proxy va éviter un contact direct entre l’internaute et les serveurs de Google.
Mais pour que cette solution soit conforme au RGPD, il vous faudra la paramétrer correctement afin d’éviter le transfert de l’adresse IP vers les serveurs d’analyse, veiller à la suppression des données permettant une identification comme par exemple les UTM dans le lien URL collecté, empêcher le croisement des données de plusieurs sites,…
Pour résumer empêcher toutes les mesures qui permettent une réidentification d’informations pseudonymisées.
Existe-t-il des outils alternatifs à Google Analytics ?
Une réponse courte et réaliste serait oui mais.
Il existe plusieurs solutions de mesure d’audience efficace qui respectent le traitement RGPD. Sous réserve d’en faire un usage en lien avec l’administration de votre site, vous pouvez utiliser plusieurs solutions différentes que la CNIL a regroupées dans cette liste, la plus célèbre étant certainement Matomo de feu Piwic.
Pour comprendre le oui, nous pouvons faire un parallèle avec les moteurs de recherche, il existe d’autres moteurs de recherche que Google, des moteurs plus respectueux de vos données personnelles comme Qwant ou Ecosia par exemple. Cependant, la position de leader de Google fait du géant américain le moteur de référence. Et cette hégémonie s’applique aussi sur les solutions d’analyses et de marketing proposées par la firme de Montain View : comme Google AdWords et Google AdWords Express ou plus globalement Google Business Solutions.
Il peut paraître utopique de penser que des millions d’utilisateurs vont quitter un système performant du jour au lendemain surtout s’ils ne sont pas contraints par des sanctions de la part de la commission.
Une situation complexe qui risque de perdurer
Il est fort à parier que les échanges entre Google et la CNIL n’en sont pas à leur dénouement final.
D’un côté, le respect de la réglementation RGPD est devenu le fer de lance de la commission, qui sanctionne les sites web en cas de non-respect et les amendes commencent à tomber !
D’un autre côté, se trouve le géant mondial qui fait la pluie et le beau temps en matière de référencement, de visibilité et d’analyses des données et comportements sur la majeure partie des sites web en activité !
Nous pouvons donc penser que le bras de fer n’est pas fini, et que comme souvent, c’est entre vos mains que se trouve la solution : en communiquant avec vos usagers sur votre stratégie mise en place (usage ou non de Google, consentement averti, …) vous pourrez ainsi préparer la mise en conformité de votre site, ou attendre l’esprit tranquille le prochain round entre Google et la commission !
