Google Analytics : la Cnil a posé les règles du jeu

Google Analytics CNIL

Près de six mois ont passé depuis de que la Cnil a déclaré l’usage de Google Analytics non conforme au RGPD. Que propose-t-elle aujourd’hui ?

Quels substituts à Google Analytics ? La question se pose d’autant plus depuis que la Cnil a déclaré la non-conformité de l’outil vis-à-vis du RGPD. C’était en début d’année. Elle avait emboîté le pas à son homologue autrichienne, dans le cadre d’un dossier de dimension européenne.

À la source, une centaine de plaintes de l’association militante NOYB (None of Your Business) déposées en août 2020 dans 30 pays. La Cnil était destinataire de six d’entre elles. D’un côté, trois impliquant l’usage de Facebook Connect (cibles : Le Huffington Post, Leroy Merlin et Free Mobile). De l’autre, trois impliquant l’usage de Google Analytics (cibles : Auchan, Decathlon et Sephora).

« Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD », résume la Cnil dans une FAQ mise en ligne début juin. Elle en a publié, la semaine dernière, une version en anglais.

Le problème fondamental avec Google Analytics : il n’est pas possible de le paramétrer de façon à ne pas transférer de données personnelles hors de l’Union européenne. L’ensemble des données collectées sont en l’occurrence hébergées aux États-Unis. Un pays qui, en l’état, n’offre pas un niveau suffisant de protection desdites données (il n’y a en tout cas pas de reconnaissance juridique au niveau de l’UE).

En attendant le successeur du Privacy Shield…

Dans ce contexte, Google propose, par défaut, un mécanisme alternatif : les clauses contractuelles types. Ses clients peuvent s’en prévaloir pour transférer des données personnelles vers les États-Unis… à condition que soient prises les mesures techniques, organisationnelles et juridiques adéquates pour assurer une protection effective.

L’anonymisation est une mesure envisageable. Sur Google Analytics, elle peut s’appliquer aux adresses IP. Mais pas dans le cadre de tous les transferts, note la Cnil. Et de relever, par ailleurs, que « les éléments fournis par Google ne permettent pas de déterminer si l’anonymisation a lieu avant le transfert aux États-Unis ».

Autre constat : l’utilisation d’identifiants uniques n’empêche pas nécessairement la réidentification de personnes ; en particulier lorsqu’on les associe à d’autres informations telles que les métadonnées relatives à l’OS et au navigateur. C’est sans compter l’amplification potentielle du risque de suivi lorsqu’on utilise Google Analytics conjointement à d’autres services de Google.

Le proxy, une solution pour rendre Google Analytics conforme ?

La Cnil a retenu une solution pour qui voudrait continuer à utiliser Google Analytics seul. Elle repose sur un serveur mandataire (proxy) intercalé entre les terminaux des internautes et les serveurs de Google. L’idée étant d’empêcher ces derniers d’accéder à certaines données (adresse IP, information de site référent, paramètres des URL…). Ou au moins, de les pseudonymiser au préalable.

proxyfication CNIL

L’approche proxy peut se révéler coûteuse et complexe à mettre en place, assène la Cnil. Aussi pointe-t-elle vers une liste de 18 solutions alternatives. Leur point commun : elles sont exemptées du recueil de consentement préalable des personnes concernées. En toile de fond, les lignes directrices du CEPD (Comité européen de protection des données). Lequel estime que ce mécanisme n’est valable que pour des transferts non systématiques. Et qu’il ne saurait donc s’appliquer à Google Analytics.

L’usage légitime de ces solutions peut reposer sur une autre base : le traitement de données personnelles est strictement nécessaire à leur fonctionnement. À condition de les configurer correctement. La Cnil fournit un guide pour chacune – et spécifie la ou les versions concernées.

Solution Éditeur
Abla Analytics Astra Porta
Analytics Suite Delta AT Internet
BEYABLE BEYABLE
Compass Marfeel Solutions
CS Digital Contentsquare
eStat Streaming Médiamétrie
etracker Analytics etracker
Eulerian Eulerian Technologies
Matomo Analytics Matomo
Nonli Nonli
Piwik PRO Piwik PRO
Retency Web Retency
SmartProfile Net Solution Partner
Statshop Web2Roi
Thank-You Marketing Thank-You
TrustCommander Commanders Act
Wizaly Wizaly SAS
Wysistat Business Wysistat

 

Correctement configurés, tous ces outils ont une finalité strictement limitée à la seule mesure de l'audience du site ou de l'application. Cela peut inclure la détection des problèmes de navigation, l'optimisation des performances techniques ou de l'ergonomie, l'analyse des contenus consultés, etc. Autant de démarches qui devront être réalisées exclusivement pour le compte de l'éditeur du site / de l'app.

Illustration principale © Foto-Ruhrgebiet – Shutterstock