Google Analytics : pourquoi le compte n'y est toujours pas pour les Cnil européennes

La Cnil danoise juge que l’usage de Google Analytics reste inconforme au RGPD, en dépit des options ajoutées après les rappels à l’ordre de plusieurs homologues européennes.

La « proxyfication », meilleure solution pour mettre Google Analytics en conformité avec le RGPD ? La Cnil lui a en tout cas dédié un guide, publié début juin. En toile de fond, une décision que l’autorité avait rendue en février. Sa conclusion : l’outil de mesure d’audience n’est pas conforme au règlement européen, même en modifiant le paramétrage. Le problème : des transferts de données personnelles vers les États-Unis, sans le niveau de protection requis*.

Son homologue autrichienne avait ouvert le bal en janvier ; avec, dans les grandes lignes, le même constat. Dans ce dossier d’envergure européenne (101 plaintes déposées dans 30 pays), la Cnil italienne leur a emboîté le pas en juin.

La dernière décision en date est tombée cette semaine, au Danemark. En dépit des améliorations que Google a apportées ces derniers mois, les options que propose l’outil ne suffisent toujours pas à le rendre conforme, a jugé l’autorité nationale. Il faut prendre des mesures supplémentaires, affirme-t-elle.

Chiffrement, consentement, pseudonymisation… Quelles pistes ?

De quelles améliorations parle-t-on ? En particulier, de filtres supplémentaires permettant de ne pas collecter certaines données, relatives en particulier aux terminaux des utilisateurs (OS, navigateur…). Pour autant, même une fois ces filtres activés, Google Analytics continue à collecter des données à caractère personnel. En tête de liste, un identifiant unique pour chaque visiteur.

D’après Google, on ne peut considérer que ces identifiants relèvent de données personnelles. Ce n’est pas l’avis de la Cnil danoise. Elle considère que ces informations peuvent permettre d’identifier des individus. « Identifier », pas forcément au sens de « donner un nom » ou « associer une identité ». Mais simplement de « distinguer un individu au sein d’un groupe ». Sa réflexion se fonde une interprétation – qu’elle admet être « large » – du préambule du RGPD. Une position pas nouvelle, souligne toutefois l’autorité. En 2007, les Cnil avaient adopté une position commune en la matière, sous l’égide du groupe de travail Article 29 (qui allait devenir le CEPD).

La Cnil le reconnaît dans son guide : l’approche proxy peut se révéler coûteuse et complexe à mettre en place. Son homologue danoise ne s’exprime pas à ce sujet, mais propose d’autres parades. Parmi elles, le chiffrement, efficace… à condition que les clés ne soient pas dans la main de Google ; ce qui est le cas avec Analytics.

Deuxième solution : obtenir le consentement des personnes concernées (ici, donc, les visiteurs de sites web). La loi autorise, dans des situations spécifiques, à se prévaloir d’une telle base juridique, admet la Cnil danoise. Mais cela « devrait rester l’exception ». Or, dans le cas de Google Analytics, cela deviendrait la règle générale, le transfert vers les États-Unis s’appliquant à toutes les données collectées.

Troisième solution, que recommande notamment l’EDPB : la pseudonymisation. Pour la mettre en œuvre, là aussi, l’idéal est de passer par un serveur mandataire (proxy). Et, quoi qu’il en soit, tenir compte des autres données que les autorités américaines seraient susceptibles de détenir à propos des personnes concernées.

Google Analytics en direct avec les US ?

Pour qui n’utilise pas de proxy, Google Analytics comporte une option qui « anonymise » les adresses IP. Elle met à zéro le dernier octet (en IPv4) ou les 80 derniers bits (IPv6). D’après le groupe américain, l’opération se fait « aussi vite qu’il est techniquement possible ». Ses déclarations auprès des Cnil ne leur ont toutefois pas permis de déterminer si cela se passe avant ou après le transfert des données vers les USA.

On suppose ici que la collecte initiale se fait sur des serveurs dans l’UE. La documentation de Google Analytics comporte effectivement des éléments qui vont dans ce sens. Le choix du datacenter se fait en fonction de l’IP du visiteur. Ce qui peut poser des problèmes, argüe la Cnil danoise, si les visiteurs se trouvent près d’un datacenter situé sur le sol américain. Dans le cadre de cette connectivité « directe », on peut supposer que Google a mise en place des pare-feu qui journalisent le trafic entrant. Des données qui pourraient faire l’objet d’un croisement avec celles que collecte Analytics.

* Aussi longtemps qu’existèrent les accords dits Safe Harbor et Privacy Shield, on pouvait s’en prévaloir pour opérer des transferts de données personnelles vers les USA. Mais la Cour de justice de l’Union européenne les a annulés tour à tour (affaires Schrems et Schrems II). Désormais, Google s’appuie sur des clauses contractuelles types… qui l’obligent à mettre en place les « mesures adéquates » pour assurer un niveau de protection « substantiellement équivalent » à celui garanti dans l’UE.

Lire aussi : Pour un MFA conforme au RGPD : ce que recommande la CNIL