La Cnil ferme presque toutes les portes à l'utilisation de Google Analytics en France
- 13 Jui 2022
La Commission Nationale de l’Informatique & des Libertés (CNIL) a publié ce mardi 07 juin 2022 une liste de Questions-Réponses suite aux mises en demeure de la CNIL concernant l’utilisation de Google Analytics.
Et à la question "Est-il possible de paramétrer l'outil Google Analytics de manière à ne pas transférer de données personnelles hors de l'Union européenne", la CNIL a répondu tout simplement par un "Non.".
Pour rappel, c’est à cause des transferts de données hors de l’Union Européenne, que la CNIL a mis en demeure le 10 février 2022 plusieurs gestionnaires de site internet français ayant recours à Google Analytics d’en cesser l’utilisation. La CNIL a conclu que ces transferts de données vers les États-Unis ne sont pas suffisamment encadrés car ils peuvent permettre aux autorités américaines d’y avoir accès, ce qui contrevient aux règles RGPD.
Le 25 mars, l'UE et les États-Unis ont annoncé un accord de principe visant à encadrer de manière satisfaisante les flux de données vers les Etats-Unis, mais pour autant, cela ne reste qu’une annonce politique. Comme le note le Comité européen de la protection des données (CEPD), lors de leur déclaration du 06 avril 2022, cette annonce ne constitue pas un cadre légal sur lequel les exportateurs de données peuvent fonder leurs transferts vers les États-Unis.
En parallèle des discussions entre l’UE et les Etats-Unis, Google souhaite complaire à la CNIL plutôt que de voir tous ses clients migrer vers des solutions plus respectueuses du RGPD. Cependant nous constatons, au travers de la publication des Questions-Réponses, qu’aucune des garanties supplémentaires proposées ne permet de rendre légal l’utilisation de Google Analytics. En effet, ni le chiffrement ni la pseudonymisation ni les clauses contractuelles types sont considérés par la CNIL comme suffisants pour assurer un bon niveau de protection en cas de demande d’accès des autorités américaines.
Pour faire simple, l’utilisation de Google Analytics doit être désormais considérée comme illégale au regard du RGPD.
Toutefois, comme indiqué dans le titre de l’article, la CNIL n’a pas fermé toutes les portes à l’utilisation de Google Analytics, elle propose une solution envisageable : “La proxyfication”. Cette solution a pour objectif d’éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure (cf. images ci-dessous / source CNIL). La mise en place de cette solution doit néanmoins respecter un certain nombre de conditions.
Mais aux dires même de la CNIL « La mise en œuvre des mesures décrites peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels », et conseille même de “recourir à une solution ne réalisant pas de transferts de données personnelles en dehors de l’Union européenne.”
Finalement, nous pouvons déduire que la CNIL incite implicitement à basculer vers un outil de mesure d’audience pouvant être configuré de telle sorte qu’il respecte le cadre du RGPD.
Actuellement, la CNIL a dressé une liste d’ outils pouvant remplacer Google Analytics.
Nous considérons les 2 solutions suivantes comme étant d'excellentes alternatives :
- AT Internet, solution française conforme au RGPD qui stocke les données au sein de l’union européenne. AT Internet peut même bénéficier de l’exemption de consentement selon le paramétrage de l’outil.
- Matomo, anciennement connu sous le nom de Piwik, est un logiciel de web analyse open source qui offre la possibilité d’une installation gratuite sur son serveur afin de gérer la collecte, le stockage, la sécurisation et le traitement de ses données.
Ces solutions web analytics peuvent également être accompagnées de Contentsquare, qui permet d’effectuer des analyses plus poussées sur le parcours utilisateur.
Pour plus d'informations, participez au webinaire le 28 Juin 2022 à 14h.
Sources :
https://www.cnil.fr/fr/le-cepd-publie-une-declaration-sur-le-projet-de-nouveau-cadre-transatlantique