La CNIL s’attaque à l’outil Google Analytics
Google Analytics est un outil gratuit d’analyse d’audience utilisé par plus de 10 millions de sites dans le monde qui semble aller à l’encontre du RGPD. En effet, afin de fournir des statistiques approfondies, Google transfère puis stocke les données des internautes aux Etats-Unis. La CNIL a jugé qu’en l’état, ces transferts sont insuffisamment encadrés.
Le Privacy Shield a été invalidé en juillet 2020 par la Cour de justice de l’Union européenne (CJUE), dispositif encadrant les transferts de données personnelles entre l’Union Européenne et les Etats-Unis. Ce pays n’assurant pas suffisamment de garanties aux données personnelles, cette décision a entraîné de nombreuses conséquences.
NOYB à l’origine d’une centaine de plaintes
L’association None Of Your Business (NOYB), luttant pour les droits numériques en Europe depuis 2017 s’est intéressée à Google Analytics. En août 2020, elle a déposé 101 plaintes à l’encontre de l’utilisation de cet outil d’analyse auprès de plusieurs autorités de protection des données, dont la CNIL. La commission nationale a alors mis en demeure les entreprises en cause de se mettre en conformité. Elles disposent ainsi d’un délai d’un mois pour mettre en place les actions nécessaires. Si ces sociétés n’agissent pas, des procédures de sanctions pourront être engagées à leur encontre par la CNIL.
Afin d’être en conformité avec le RGPD, l’utilisation de Google Analytics, même avec des modifications de son paramétrage, semble compliquée. En effet, certains acteurs souhaitent changer le paramétrage des conditions de traitement de l’adresse IP. Toutefois, ces données continuent d’être transférées aux Etats-Unis, ce qui est à l’encontre des règles RGPD. D’autre part, des sociétés ont proposé d’opter pour le chiffrement ou le remplacement de l’identifiant généré par l’outil. A nouveau, cette mesure n’apporterait “que peu ou pas de garanties supplémentaires” selon la CNIL. En effet, le problème est causé par le contact direct entre le terminal de l’internaute et les serveurs Google, fourni par le biais d’une connexion HTTPS. Grâce aux requêtes qui en résultent, ces serveurs peuvent directement obtenir l’adresse IP de l’utilisateur et d’autres informations personnelles. Ainsi, bien que cet outil gratuit et très complet soit mondialement utilisé, les entreprises européennes se doivent désormais de trouver une alternative à Google Analytics afin de respecter le RGPD.
Une seule solution : la proxyfication
Cependant, si certaines sociétés persistent à vouloir utiliser Google Analytics tout en se conformant au RGPD, la CNIL propose une solution : la proxyfication. Grâce à la mise en place d’un serveur mandataire, aussi appelé proxy, le contact direct entre le terminal de l’utilisateur et les serveurs de Google pourront alors être rompus. Ainsi, si ce serveur est bien configuré et répond à un ensemble de critères, il sera possible de continuer d’utiliser Google Analytics, permettant la pseudonymisation avant export de données. Cette solution se révèle cependant coûteuse et complexe à installer de par les nombreuses mesures à mettre en place. Ainsi, adopter une alternative à Google Analytics ne transférant pas les données vers les Etats-Unis semble la meilleure solution afin d’être en conformité avec le RGPD.
Pour aller plus loin
