Optimex Data sur la mise en demeure adressée par la CNIL en raison de l’usage de Google Analytics ; remettant ainsi en cause la conformité au RGPD du célèbre outil de mesure d’audience..
Google Analytics, CNIL et RGPD
Nous vous en avions parlé, la CNIL a récemment mis en demeure un gestionnaire web, de cesser d’utiliser l’outil de mesure d’audiences Google Analytics en raison des transferts de données personnelles que le service opère vers les Etats-Unis. Suite à l’effervescence qu’a suscité cette décision, la Commission a mis en ligne des Questions-Réponses, afin de nous éclairer sur ce que cela implique.
Voici ce qu’il faut en retenir…
- Tous les responsables de traitement utilisant Google Analytics de façon similaire à ceux mis en demeure, doivent considérer que cette utilisation est illégale au regard du RGPD – Cette interprétation est commune à l’ensemble des pays de l’Union Européenne et partagé par les différentes autorités de contrôle ;
- Les Clauses Contractuelles Types – CCT encadrant les transferts de données personnelles effectués par Google vers les Etats-Unis, sont insuffisantes pour protéger les données en question ;
- Il n’est pas possible de paramétrer l’outil pour qu’il n’effectue pas de transferts de données hors de l’Union Européenne ;
- Google propose bien une fonctionnalité d’anonymisation des données. Les données anonymisés sont celles qui ne permettent pas l’identification des personnes, même en les recoupant avec d’autres informations – elles ne sont donc plus concernées par les règles du RGPD. Cependant, les autorités de contrôle européennes ne considèrent pas ce procédé comme suffisant, car Google n’est pas en mesure de prouver que l’anonymisation a lieu avant le transfert. Il existerait donc un laps de temps durant lequel les autorités américaines auraient accès aux données en clair.
- Le chiffrement des données effectué par Google est une mesure de sûreté jugée insuffisante, car la société doit fournir la clé de déchiffrage aux autorités américaines, à leur demande.
Vous l’aurez compris, plusieurs des aspects de la version universelle de Google Analytics sont problématiques car ils ne permettent pas une protection suffisante des données. Nous ne pouvons pas non plus garantir que la future version du service, Google Analytics 4 – GA4, sera plus respectueuse du RGPD. La CNIL ne se prononce pas non plus à ce sujet.
Par conséquent, nous vous recommandons d’opter pour l’un des outils de mesure d’audience déjà validés par la CNIL ou a défaut, d’utiliser un serveur mandataire proxy afin d’éviter tout contact direct entre le terminal de l’utilisateur et les serveurs de Google Analytics. La CNIL précise toutefois que cette dernière solution s’avère être coûteuse, complexe et qu’elle ne permet pas toujours de répondre aux besoins des professionnels.