Pour gérer vos consentements :
Categories: Régulations

Google Analytics : la Cnil a posé les règles du jeu

Quels substituts à Google Analytics ? La question se pose d’autant plus depuis que la Cnil a déclaré la non-conformité de l’outil vis-à-vis du RGPD. C’était en début d’année. Elle avait emboîté le pas à son homologue autrichienne, dans le cadre d’un dossier de dimension européenne.

À la source, une centaine de plaintes de l’association militante NOYB (None of Your Business) déposées en août 2020 dans 30 pays. La Cnil était destinataire de six d’entre elles. D’un côté, trois impliquant l’usage de Facebook Connect (cibles : Le Huffington Post, Leroy Merlin et Free Mobile). De l’autre, trois impliquant l’usage de Google Analytics (cibles : Auchan, Decathlon et Sephora).

« Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD », résume la Cnil dans une FAQ mise en ligne début juin. Elle en a publié, la semaine dernière, une version en anglais.

Le problème fondamental avec Google Analytics : il n’est pas possible de le paramétrer de façon à ne pas transférer de données personnelles hors de l’Union européenne. L’ensemble des données collectées sont en l’occurrence hébergées aux États-Unis. Un pays qui, en l’état, n’offre pas un niveau suffisant de protection desdites données (il n’y a en tout cas pas de reconnaissance juridique au niveau de l’UE).

En attendant le successeur du Privacy Shield…

Dans ce contexte, Google propose, par défaut, un mécanisme alternatif : les clauses contractuelles types. Ses clients peuvent s’en prévaloir pour transférer des données personnelles vers les États-Unis… à condition que soient prises les mesures techniques, organisationnelles et juridiques adéquates pour assurer une protection effective.

L’anonymisation est une mesure envisageable. Sur Google Analytics, elle peut s’appliquer aux adresses IP. Mais pas dans le cadre de tous les transferts, note la Cnil. Et de relever, par ailleurs, que « les éléments fournis par Google ne permettent pas de déterminer si l’anonymisation a lieu avant le transfert aux États-Unis ».

Autre constat : l’utilisation d’identifiants uniques n’empêche pas nécessairement la réidentification de personnes ; en particulier lorsqu’on les associe à d’autres informations telles que les métadonnées relatives à l’OS et au navigateur. C’est sans compter l’amplification potentielle du risque de suivi lorsqu’on utilise Google Analytics conjointement à d’autres services de Google.

Le proxy, une solution pour rendre Google Analytics conforme ?

La Cnil a retenu une solution pour qui voudrait continuer à utiliser Google Analytics seul. Elle repose sur un serveur mandataire (proxy) intercalé entre les terminaux des internautes et les serveurs de Google. L’idée étant d’empêcher ces derniers d’accéder à certaines données (adresse IP, information de site référent, paramètres des URL…). Ou au moins, de les pseudonymiser au préalable.

L’approche proxy peut se révéler coûteuse et complexe à mettre en place, assène la Cnil. Aussi pointe-t-elle vers une liste de 18 solutions alternatives. Leur point commun : elles sont exemptées du recueil de consentement préalable des personnes concernées. En toile de fond, les lignes directrices du CEPD (Comité européen de protection des données). Lequel estime que ce mécanisme n’est valable que pour des transferts non systématiques. Et qu’il ne saurait donc s’appliquer à Google Analytics.

L’usage légitime de ces solutions peut reposer sur une autre base : le traitement de données personnelles est strictement nécessaire à leur fonctionnement. À condition de les configurer correctement. La Cnil fournit un guide pour chacune – et spécifie la ou les versions concernées.

Solution Éditeur
Abla Analytics Astra Porta
Analytics Suite Delta AT Internet
BEYABLE BEYABLE
Compass Marfeel Solutions
CS Digital Contentsquare
eStat Streaming Médiamétrie
etracker Analytics etracker
Eulerian Eulerian Technologies
Matomo Analytics Matomo
Nonli Nonli
Piwik PRO Piwik PRO
Retency Web Retency
SmartProfile Net Solution Partner
Statshop Web2Roi
Thank-You Marketing Thank-You
TrustCommander Commanders Act
Wizaly Wizaly SAS
Wysistat Business Wysistat

Correctement configurés, tous ces outils ont une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application. Cela peut inclure la détection des problèmes de navigation, l’optimisation des performances techniques ou de l’ergonomie, l’analyse des contenus consultés, etc. Autant de démarches qui devront être réalisées exclusivement pour le compte de l’éditeur du site / de l’app.

Illustration principale © Foto-Ruhrgebiet – Shutterstock

Recent Posts

Vanessa Cugniere, nouvelle Country Manager de OneTrust en France

OneTrust nomme Vanessa Cugniere au poste de Country Manager pour la France.

15 heures ago

Les recettes d’Apple pour entraîner des LLM multimodaux

Apple donne un aperçu supplémentaire de ses travaux LLM multimodaux avec un article consacré à…

15 heures ago

Luc Julia : « L’IA générative n’est pas une révolution des IA, mais une révolution des usages »

Pour Luc Julia, inventeur de Siri, l’essor des IA génératives n’est pas une révolution qui…

19 heures ago

Grok est-il vraiment un LLM « ouvert » ?

Un LLM dont on publie poids et code d'inférence est-il « open source » ?…

20 heures ago

Les 5 start-up retenues pour le programme PROQCIMA

Avec PROQCIMA, L'État vise le développement d'ordinateurs quantiques à destination des armées. Il a sollicité…

22 heures ago

Les frais de sortie en voie d’extinction chez les hyperscalers

Dans la lignée de Google Cloud et d'AWS, Microsoft met fin aux frais de sortie…

4 jours ago