Vous l’aurez compris, entre la CNIL et Google Analytics c’est un combat de boxe plein de rebondissements. Rangez vos billets, ce n’est pas le bon moment pour parier… Dépensez-les pour trouver et mettre en œuvre une autre solution de mesures d’audience.
En début d’année 2022, les hostilités étaient lancées contre Google Analytics à la suite des 101 plaintes déposées par l’association NOYB (« My privacy is none of your business ») dans les 27 Etats Membres de l’Union Européenne.
Les autorités de protection des données européennes se sont coordonnées pour adopter une position commune et ont mis en demeure de nombreux organismes utilisant Google Analytics, considérant que cet outil de mesures d’audience ne présentait pas de garanties suffisantes pour la protection des données collectées.
Cependant, des incertitudes persistaient quant à la possibilité de continuer à utiliser Google Analytics, notamment en le configurant différemment.
Coup de sonnerie sur le ring, la CNIL vient d’enchaîner un Q&A puis un article dédiés aux outils de mesure d’audience sur son site aussi puissants qu’un uppercut en vue de faire vaciller Google Analytics.
Quel est le problème avec les cookies de Google Analytics ?
Depuis l’invalidation du Privacy Shield en juillet 2020, le « bouclier de protection des données » entre l’Union Européenne et les Etats-Unis, les transferts de données vers ce pays doivent faire l’objet de garanties renforcées pour éviter que les autorités américaines de renseignement puissent y accéder.
La société mère de Google et ses serveurs se trouvant aux Etats-Unis, les données recueillies via Google Analytics sont concernées par ce risque et, pour la CNIL, l’utilisation de Google Analytics par de nombreux organismes n’offre pas des garanties suffisantes au regard des exigences du RGPD.
Peut-on modifier les paramètres de Google Analytics pour se mettre en conformité avec le RGPD ?
La CNIL répond par la négative :
– il n’est pas possible d’empêcher les transferts de données vers les Etats-Unis où elles sont hébergées ;
– le recours aux clauses contractuelles types de la Commission Européenne pour encadrer le transfert n’est pas suffisant puisqu’elles ne sont pas opposables aux autorités de renseignement ;
– l’anonymisation de l’adresse IP ne suffit pas dès lors qu’elle n’est pas effectuée avant le transfert ;
– le chiffrement des données est effectué directement par Google, qui pourrait être contraint de communiquer les données ainsi que la clé de chiffrement aux autorités de renseignement.
Quelles solutions pour mesurer l’audience de son site ?
Pour continuer d’utiliser Google Analytics, la CNIL recommande de recourir à la proxyfication. L’utilisation d’un serveur mandataire tiers, un « proxy », permet en effet d’éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil.
Le proxy ne constituera cependant une garantie suffisante de protection des données que sous certaines conditions, notamment sous réserve de la pseudonymisation des données préalablement à leur envoi aux serveurs de l’outil et de la suppression de toutes les données pouvant permettre une réidentification.
En dehors de cette hypothèse limitée et complexe, il faut donc cesser toute utilisation des cookies Google Analytics !
Il demeure possible de recourir à d’autres outils de mesure d’audience listés par la CNIL ici, mais il vous faudra vérifier au cas par cas s’il existe un transfert de données vers un Etat tiers et si des garanties suffisantes de protection des données sont mises en place. Tout cela sans oublier les règles applicables à l’utilisation des cookies.