Google Analytics est-il vraiment interdit en France ?

RGPD – QUID ?

Qu’est-ce que le règlement général sur la protection des données ?

Le règlement général sur la protection des données est un texte législatif européen qui définit les règles relatives à la protection des données à caractère personnel. Il est entré en vigueur le 25 mai 2018.

Le règlement de la protection des données est destiné à protéger les citoyens de l’Union Européenne en garantissant un cadre législatif unique pour protéger les données à caractère personnel. Il s’applique aux entreprises et aux organismes publics qui traitent ce type de données.

Le règlement de la protection des données est composé de deux parties : le cadre général et les dispositions spécifiques.

Le cadre général définit les principes fondamentaux relatifs au traitement des données à caractère personnel. Ces principes sont les suivants :

– La légitimation : le traitement des données à caractère personnel ne peut être effectué que si une base légale le justifie.

– La finalité : il ne peut être effectué que pour des fins déterminées, explicites et légitimes.

– La minimisation : il doit être limité aux données nécessaires au regard des fins pour lesquelles elles sont traitées.

– La proportionnalité : le traitement des données à caractère personnel doit être proportionné à la finalité poursuivie.

– La qualité : les données à caractère personnel doivent être exactes, complètes et à jour.

– La confidentialité : elles doivent être traitées de manière à garantir leur confidentialité.

– L’intégrité : elles doivent être traitées de manière à garantir leur intégrité.

– La responsabilité : les responsables du traitement des données à caractère personnel doivent être désignés et doivent être garants du respect des principes du règlement.

– Le respect de la vie privée : les données à caractère personnel doivent être traitées de manière à garantir le respect de la vie privée.

– La transparence : les responsables du traitement des données à caractère personnel doivent informer les personnes concernées par le traitement de leurs droits.

– L’accès : les personnes concernées par le traitement des données à caractère personnel doivent avoir un accès à leurs données.

– La rectification : les personnes concernées par le traitement des données à caractère personnel doivent pouvoir demander la rectification de leurs données.

– L’effacement : elles doivent pouvoir demander l’effacement de leurs données.

– La limitation : elles doivent pouvoir demander la limitation du traitement de leurs données.

– La portabilité : elles doivent pouvoir recevoir leurs données dans un format structuré, couramment utilisé et lisible par machine.

– La sécurité : les données à caractère personnel doivent être traitées de manière à garantir la sécurité des données.

– Le secret professionnel : les personnes concernées par le traitement des données à caractère personnel doivent être tenues au secret professionnel.

La mise en application du RGPD en France

La CNIL est l’autorité française en charge de la protection des données personnelles. Elle veille à ce que les lois et règlements relatifs à la protection des données personnelles soient respectés, et met en place des mesures pour encourager les bonnes pratiques en matière de protection des données.

La CNIL est chargée de veiller au respect du règlement général sur la protection des données (RGPD), qui est la loi européenne sur la protection des données personnelles. Le RGPD est entré en vigueur le 25 mai 2018 et s’applique aux données personnelles collectées par les organisations situées dans l’Union européenne.

Le RGPD impose de nouvelles règles sur la manière dont les organisations doivent collecter, traiter et stocker les données personnelles. Il donne aux individus des droits plus larges sur leurs données personnelles, notamment le droit de savoir si elles sont collectées et, le cas échéant, de demander qu’elles soient supprimées.

La CNIL est chargée de veiller au respect du RGPD et peut imposer des sanctions aux organisations qui ne se conforment pas à la loi.

Concrètement, la CNIL attend :

– Une mesure de l’audience, page par page.

– Une liste des pages à partir desquelles un lien a été suivi pour demander la page courante (parfois nommé « referrer »), que ce soit interne ou externe au site, par page et agrégée de manière journalière.

– Les types de terminaux et de navigateurs ainsi que les tailles d’écrans des visiteurs, par page et agrégés de manière journalière.

– Des statistiques de temps de chargement des pages, par page et agrégées de manière horaire.

– Des statistiques de temps passé sur chaque page, de taux de rebond, de profondeur de défilement, par page et agrégées de manière journalière.

– Des statistiques sur les actions utilisateurs (clic, sélection), par page et agrégées de manière journalière.

– Des statistiques sur la zone géographique d’origine des requêtes, par page et agrégées de manière journalière.

Les problématiques de conformité rencontrées par Google Analytics

Google Analytics et le tracking des données

Google Analytics n’est pas conforme au règlement de protection des données en France et en Europe pour plusieurs raisons.

1. Premièrement, il collecte des données personnelles sans le consentement de l’utilisateur. Il s’agit d’une violation claire du principe de consentement du GDPR.
2. Deuxièmement, Google Analytics ne fournit pas aux utilisateurs suffisamment d’informations sur la manière dont leurs données seront utilisées. Le GDPR exige que les entreprises soient transparentes sur la manière dont elles utilisent les données personnelles.
3. Troisièmement, Google Analytics ne donne pas aux utilisateurs la possibilité de refuser la collecte de données. Le RGPD exige que les entreprises donnent aux utilisateurs la possibilité de refuser la collecte de données s’ils ne veulent pas que leurs données soient utilisées.
4. Quatrièmement, Google Analytics ne dispose pas d’un mécanisme permettant de supprimer les données des utilisateurs. Le RGPD exige que les entreprises suppriment les données des utilisateurs si ces derniers le demandent. Dans l’ensemble, Google Analytics ne répond pas aux exigences du GDPR en matière de protection des données.

La persistance du traitement de l’adresse IP par Google est la problématique centrale, car nous n’avons pas les garanties suffisantes que la réidentification des personnes traitées ne soit pas réalisée sur les serveurs par la suite. Pourquoi ? Parce que les connexions HTTPS font que la requête est envoyée du terminal de la personne aux serveurs de Google. Cette requête permet d’obtenir l’adresse IP et les informations sur son terminal.

De ce fait, il est nécessaire d’utiliser des services de proxy afin de rompre cette chaîne et s’assurer que l’anonymisation soit réelle.

Alors, Google Analytics interdit en France ? Tout d’abord, l’outil contient des données personnelles et elles ne sont anonymisées que lorsque l’IP de l’internaute arrive chez Google.

Données européennes sur des serveurs européens, Patriot Act & Cloud Act

Une des problématiques principales que rencontre actuellement Google est le fait que l’ensemble des données récoltées soient envoyées sur les serveurs aux États-Unis. Cela pose un vrai problème, puisque l’utilisateur doit consentir explicitement à ce que ces données soient transférées à l’étranger selon l’article 49 du Règlement Général de la Protection des Données :

“En l’absence d’une décision d’adéquation (…) ou de garanties appropriées (…), un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers (…) ne peut avoir lieu (…) que si la personne concernée a explicitement consenti au transfert proposé, après avoir été informée des risques éventuels que représentent ces transferts pour la personne concernée. »

Ce sont particulièrement les deux lois du « Patriot Act » et du « Cloud Act » qui sont visées : elles permettent à la justice américaine de mettre à disposition des renseignements américains toutes les données dont disposent les sociétés américaines. Cela pose un grave problème pour la protection des données, et entre en contradiction avec les circulaires de la Commission Européenne. Dans un arrêté du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield (le dispositif encadrant le traitement des données pour les autorités États-Uniennes).

Concernant Google Analytics, une décision du 10 février 2022 estime que l’utilisation de cet outil entraînait, à l’instant T, des transferts vers les États-Unis insuffisamment encadrés. C’est un des gros phénomènes bloquants concernant l’utilisation de Google Analytics.

Depuis, Google menace de ne plus pouvoir donner accès à certains outils en justifiant ne pas pouvoir fournir les services adéquats avec les données sur des serveurs situés sur le sol Européen.

Tentative infructueuse pour le moment puisque la Commission Européenne ne risque pas de revenir sur ses pas.

Quelle est la problématique avec le fait que les serveurs soient aux E.U ? L’État américain dispose des outils juridiques pour demander l’accès à n’importe quelle donnée des sociétés américaines, ce qui inclut les données personnelles de citoyens Européens.

Quels sont les risques liés à l’utilisation d’un outil de statistique non conforme au RGPD ?

Quels sont les risques liés au fait d’utiliser Google Analytics en France en 2022 ?

Pour le savoir, il suffit de se tourner vers les risques évoqués par la CNIL quant au non-respect du règlement général sur la protection des données :

En premier lieu, vous recevrez une mise en demeure. Cette mise en demeure offre un délai d’un mois pour se mettre en conformité (en fonction de la taille de l’entreprise cela peut être très court !).

A l’issue de contrôles ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitement qui ne respecteraient pas ces textes.

Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

– Prononcer un rappel à l’ordre ; C’est une mise en garde avant mise en demeure qui rappelle vos obligations concernant l’utilisation des données personnelles de vos utilisateurs.

– Enjoindre de mettre le traitement en conformité, y compris sous astreinte. Vous demander de modifier le traitement de vos données, sous obligation.

– Limiter temporairement ou définitivement un traitement.

– Suspendre les flux de données.

– Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;

– Prononcer une amende administrative. Cette amende peut aller de 10 à 20 millions d’euros, voire représenter les 4% du chiffre d’affaires annuel mondial pour les entreprises.

Quelles sont les solutions alternatives pour le moment ?

La CNIL propose un certain nombre de solutions alternatives, avec une liste non exhaustive qui risque d’évoluer avec les préconisations de la Commission Européenne :

– Analytics Suite Delta

– Wysistat Business de Wysistat

– Abla Analytics

– BEYABLE Analytics

– Etracker Analytics

– Retency Web Audience

– Nonli

– CS Digital

– Wizaly

– Compass

– Statshop

– Eulerian

– Thank-You Marketing Analytics

– eStat Streaming

– TrustCommander

Conclusion

Pour conclure, Google Analytics est actuellement en dehors des clous, et les risques sont réels avec une sanction pouvant s’élever jusqu’à 4% de votre chiffre d’affaires. La conformité au règlement général de la protection des données est un problématique qui n’est pas récente et qui, si ce n’est pas déjà le cas, doit être priorisée. Néanmoins, il est tout à fait imaginable que Google se mette au pas avec GA4. Ils devront alors implanter des serveurs sur le sol Européen et faire évoluer leur outil de la pseudonymisation à l’anonymisation réelle et concrète.