L’utilisation de Google Analytics, on fait le point.

14 juin 2022 par Junior Nelson

 

 

En février 2022, la CNIL a mis en demeure plusieurs gestionnaires de site web de se conformer au RGPD et de ne plus utiliser Google Analytics (ci-après GA), en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens.

 

Le contexte

 

 

Le 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a invalidé le Privacy Shield qui encadrait jusque-là les transferts de données entre l’UE et les Etats-Unis. Selon la Cour, ce cadre n’offrait pas de garanties suffisantes à la protection des données personnelles des résidents européens, en l’absence de mesures techniques, juridiques et organisationnelles supplémentaires. Or, dans sa version actuelle, GA ne fournit pas de telles garanties. La CNIL a donc jugé illégaux les transferts opérés par le biais de cet outil.

 

Dans une Foire à Questions publiée le 7 juin dernier, la CNIL a apporté quelques précisions qui méritent d’être relevées.

 

1-    La mise en place de clauses contractuelles types (CCT) ne permettent pas d’assurer un niveau de protection effective lorsqu’il existe une possibilité de demandes d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. A titre illustratif, la mise en place de CCT entre les organismes mis en demeure et Google a été jugé insuffisante par la CNIL.

 

2-    Étant donné que l’ensemble des données collectées par le biais de GA est hébergé sur des serveurs situés aux États-Unis, aucun paramétrage de GA ne permet à l’heure actuelle d’éviter le transfert des données personnelles vers les Etats-Unis.

 

3-    Dans la mesure où des sociétés soumises à des juridictions extra européennes peuvent être contraintes de divulguer les données personnelles hébergées sur des serveurs situés dans l’UE, la CNIL déconseille le recours à des solutions proposées par ces sociétés pour des raisons de droit d’accès.

 

4-    Le paramétrage de GA ne permet pas de transférer des données anonymes vers les Etats Unis. D’abord, il existe toujours un risque d’identification des utilisateurs car selon Google tous les transferts ne font l’objet d’anonymisation.

 

Ensuite, il est possible de faire de la pseudonymisation en respectant les recommandations du 18 juin 2021 du CEPD, c’est-à-dire une pseudonymisation qui garantit entre autres que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne.

 

Mais là encore, l’utilisation conjointe de Google Analytics avec d’autres services de Google, notamment de marketing, peut permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites. Par conséquent, la pseudonymisation n’offre pas la garantie supplémentaire attendue.

 

5-    Pour l’heure, les techniques de chiffrement n’offrent pas de garanties suffisantes car Google fournit la clé de chiffrement pour rendre les données intelligibles mais conserve également la possibilité d’accéder aux données de personnes en clair lorsque les autorités des Etats-Unis lui en font la demande. Pour que le chiffrement soit considéré comme une garantie supplémentaire, il faudrait que les clés de chiffrement soient conservées sous le contrôle exclusif de l’exportateur de données ou d’autres entités établies dans un territoire offrant un niveau de protection adéquat.

 

6-    Le consentement explicite des personnes est l’une des dérogations prévues par le RGPD (article 49 paragraphe a) pour transférer les données hors de l’UE. Cette dérogation doit cependant respecter deux critères : les transferts ne peuvent opérés de manière systématique et le recueil de consentement ne peut constituer une solution pérenne et de long terme.

 

Les transferts de GA étant systématiques et massifs, l’exception fondée sur le consentement des utilisateurs est inopérante.

 

Les ressources de mesure d’audience

 

 

 

La CNIL a publié une liste d’outils de mesures d’audience qui peuvent être configurés pour respecter les obligations en matière de cookies (article 82 LIL) : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience.

 

Les évaluations impératives et préalables à tout transfert

 

 

 

Pour s’assurer que les outils de mesure d’audience ne transfèrent pas de données vers un pays tiers non adéquat, il convient au préalable d’évaluer le cadre juridique du pays tiers en se fondant sur les éléments suivants :

 

  • Les décisions de la CJUE ou de la CEDH, qui ont pu évaluer la conformité de certaines législations aux standards européens en matière de protection des données.

 

  • Les recommandations des autorités de contrôle européennes, qui ont par exemple détaillé les garanties essentielles qui doivent être trouvées, en matière de surveillance, dans le pays tiers lors de l’évaluation du niveau de protection des données.

 

  • L’utilisation de la méthode de la proxyfication, qui permet, lorsqu’elle est bien configurée, de n’envoyer que des données pseudonymisées à un serveur situé en dehors de l’Union européenne.

 

En réponse à la déclaration conjointe de mars 2022 de la Commission européenne et les États-Unis concernant un futur cadre de transferts de flux de données, le CEPD a publié le 6 avril 2022, une déclaration précisant qu’il s’agit d’un accord politique qui ne constitue pas un cadre juridique sur lequel les organismes peuvent s’appuyer.

 

En pratique, ceci implique que l’utilisation de Google Analytics dans sa version actuelle expose les gestionnaires de sites web à des sanctions de la CNIL.

 

Source :

 

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics

GDPR Cookie Consent with Real Cookie Banner