Google Analytics & RGPD : Que dit la CNIL?

Que reproche la CNIL à Google Analytics ?

Google Analytics permet de suivre le comportement des internautes sur un site en collectant des données relatives aux visites. Pour ce faire, l’outil attribue à chaque visiteur un identifiant unique. Cet identifiant, ainsi que toutes les données qui lui sont relatives, sont ensuite transférés par Google aux États-Unis.

Dans sa décision du 10 février 2022, la CNIL met en demeure un gestionnaire de site pour son utilisation non-conforme de Google Analytics avec le RGPD. Cette décision fait suite à l’arrêt rendu par la Cour de Justice de l’Union Européennes (CJUE) suite auquel la CNIL a été saisie par l’association NOYB, qui a déposé plusieurs plaintes auprès de plusieurs autorités européennes à l’encontre de 101 entreprises européennes.

Pour rappel, l’arrêt « Schrems II » rendu par la CJUE a statué que le « Privacy Shield », l’accord encadrant le transfert de données entre l’Union Européenne et les États-Unis, n’était pas en conformité avec la RGPD.

Ainsi, à la suite de la plainte déposée par l’association NOYB, la CNIL, en collaboration avec ses homologues européens, a enquêté sur les conditions de transfert des données collectées par l’outil vers les États-Unis. Les conclusions de l’enquête ont confirmé la non-conformité de ces transferts au regard du RGPD, et ordonne aux éditeurs de sites français de se mettre en conformité quitte à ne plus utiliser l’outil en l’état actuel (décision du 10 février 2022).

« Dans la mise en demeure rendue publique le 10 février 2022 concernant un de ces organismes, la CNIL a estimé que :

• les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ;
• les données d’internautes européens sont donc transférées illégalement par le biais de cet outil. »

Source : CNIL

L’outil ne permet pas totalement d’anonymiser les données

Le processus d’anonymisation vise à rendre impossible la réidentification. Les données anonymisées ne sont pas couvertes par le RGPD.

Cependant, à l’heure actuelle, le « contact direct » entre le terminal de l’internaute et les serveurs de Google par l’intermédiaire de la connexion HTTPS permet à ces serveurs d’avoir accès aux adresses IP des internautes. Cette adresse IP, associée à l’identifiant unique attribué à chaque visiteur ainsi qu’à l’ensemble des données qui lui sont relatives, ne permet pas de garantir l’anonymat des internautes.

En effet, le considérant 30 du RGPD prévoit qu’un identifiant en ligne associé à une personne physique, tel qu’une adresse IP ou un témoin de connexion, peut « laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».

De ce fait, Google Analytics entre bien dans le cadre de la RGPD.

Les transferts de données vers les États-Unis ne sont pas suffisamment sécurisés

Outre le manque d’anonymisation, la CNIL reproche également à l’outil Google Analytics les conditions encadrant le transfert de données vers les États-Unis, qui selon elle ne garantissent pas un niveau de protection suffisant.

Sa décision se base sur l’arrêt rendu par la CJUE, cette dernière invalidant le « Privacy Shield » au motif que la législation américaine permettait aux services de renseignements un accès à ces données.

La CNIL statue donc ceci :

“Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données”.

Quel avenir pour Google Analytics ?

Si à l’heure actuelle la CNIL estime que l’outil n’est pas conforme à la RGPD, sa position pourra être amenée à évoluer dans le cas où Google apporterait les solutions nécessaires pour respecter le cadre légal.

Le principal intéressé a déjà fait savoir dans un communiqué qu’il travaillait actuellement sur une évolution de sa solution.

Un nouveau cadre transatlantique de protection des données personnelles est également actuellement en discussion, selon une déclaration conjointe de la Commission européenne et des États-Unis.

Quelles solutions pour les éditeurs de sites français ?

La CNIL propose une liste de solutions européennes conformes aux règles RGPD. Attention cependant, si ces solutions alternatives sont aujourd’hui respectueuses de la RGPD, rien n’indique que ce sera le cas dans le futur. De plus, Google Analytics est la solution gratuite la plus efficace en ce qui concerne le tracking de performance. Nous venons de voir que Google travaille aujourd’hui pour rendre son outil « RGPD-friendly », il existe donc deux autres solutions vous évitant de changer de solution.

À noter que dans les deux solutions suivantes, un passage de Google Analytics Universal à Google Analytics 4 sera de toute manière inévitable. Google ayant annoncé la fin d’Universal en juillet 2023.

Attendre que Google se mette de conformité

Comme expliqué précédemment, Google a déjà réagi à la décision et travaille actuellement afin de faire évoluer sa solution pour être en accord avec la RGPD. Dans le même temps, la législation régissant le transfert de données entre l’Union Européenne et les États-Unis devrait également connaître une évolution.

Adapter son Google Analytics

La CNIL a d’ores et déjà annoncé qu’une simple modification du paramétrage de l’outil n’est pas suffisante. Elle évoque cependant une solution possible avec l’utilisation d’un serveur mandataire (un proxy) permettant de ne plus avoir de contact direct entre le terminal de l’utilisateur et les serveurs de Google. Elle met tout de même en garde sur le coût et la complexité de mise en œuvre de cette dernière.