Google Analytics : la CNIL finlandaise a aussi sévi

Google Analytics Cnil Danemark

La CNIL finlandaise a dernièrement statué sur une affaire impliquant l’usage de Google Analytics par des bibliothèques.

Google Analytics, mal embarqué en Finlande ? Le mois dernier, sur place, l’autorité homologue de notre CNIL a émis un communiqué mentionnant l’outil. Le sujet : un avertissement adressé à des bibliothèques du réseau Helmet (Helsinki Metropolitan Area Libraries).

Le pourquoi de cet avertissement peut se résumer en trois points-clés :

– Usage, sur le site web helmet.fi, de technologies de suivi qui ont pu transmettre à Google des données relatives aux visiteurs et aux œuvres qu’ils recherchaient

– Transfert de données vers les États-Unis sans protection idoine (RGPD + jurisprudence Schrems II)

– Information non adéquate des personnes concernées

Rendue quelques semaines en amont, la décision à laquelle le communiqué se rapporte donne davantage d’éclairages. Elle resitue l’action de l’autorité finlandaise dans l’enquête d’envergure européenne dont Google Analytics fait l’objet. Plusieurs décisions déjà tombées, successivement en Autriche, en France, en Italie et au Danemark (voir notre article « Google Analytics : pourquoi le compte n’y est toujours pas pour les CNIL européennes »).

Matomo à la place de Google Analytics ?

Priées de faire le point sur leur situation, les bibliothèques concernées avaient transmis leur rapport à la CNIL finlandaise en juin dernier. Elle affirmaient, entre autres, n’exploiter Google Analytics que sur les pages de contenu – et non de recherche. Elles s’engageaient plus globalement à ne plus exploiter l’outil… sans néanmoins affirmer qu’elles lui substitueraient Matomo, également utilisé sur helmet.fi.

Quelques semaines plus tard, une échéance était annoncée : c’en sera fini de Google Analytics d’ici à septembre 2022.
La décision de la CNIL finlandaise – datée du 13 décembre – laisse suggérer que les bibliothèques n’avaient pas encore corrigé le tir. Elle affirme, en outre, que Google était bien en mesure d’accéder à des informations sur les œuvres recherchées, par l’intermédiaire de l’en-tête de requête Referer (qui contient l’adresse de la page web précédente).

D’autres éléments sont dénoncés, comme le dépôt de cookies avant même l’affichage de la bannière de consentement.

Concernant l’information insuffisante des personnes concernées, la manière de faire des bibliothèques ne convient pas à l’autorité. D’une part, il n’est pas clair que cette information se trouve sur la page accessible via le lien « À propos du site ». De l’autre, elle est incomplète. Il manque notamment des éléments sur la durée de conservation des données. Ainsi que sur leurs destinataires. Tout au plus apprend-on que « certains prestataires de services opèrent en dehors de l’UE ou de l’EEE ».

L’absence de base légale pour le transfert vers les États-Unis vient couronner le tout.

Photo d’illustration ©