RGPD : la CNIL part en guerre contre Google Analytics

Un rappel des faits : la CNIL met en demeure un gestionnaire de site à cause de son utilisation de Google Analytics

Jeudi 10 février 2022, la CNIL a rendu une décision dans laquelle elle met en demeure un gestionnaire de site web français de se mettre en conformité au RGPD. En cause : son utilisation non-conforme de Google Analytics, qui contrevient aux articles 44 et suivants du règlement européen sur la protection des données personnelles.

Faut-il le rappeler ? Google Analytics est un outil proposé par Google qui permet d’analyser en détail les audiences de son site web. La majorité des gestionnaires de sites web utilisent ce service qui détient pas moins de 70% des parts de marché au niveau mondial.

L’identité du gestionnaire de site incriminé n’a pas été dévoilée. Il dispose d’un mois pour se mettre en conformité. A défaut, il encourt les sanctions prévues par le RGPD : une amende pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Oui, les données de Google Analytics sont des données personnelles

Certains feront remarquer que les données de Google Analytics sont anonymes, mais il faut savoir que Google attribue un identifiant unique à chaque visiteur. 

Il est théoriquement possible pour Google de remonter à l’identité du visiteur via l’adresse IP ou via les informations stockées dans les cookies.

Le considérant 30 du RGPD affirme en effet que l’IP et les témoins de connexion (cookies) peuvent “laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes”.

Donc oui, Google Analytics est bien concerné par le RGPD.

Découvrez notre guide complet RGPD & Cookies.

La décision de la CNIL ne vise pas Google, mais le gestionnaire de site

Soyons clairs sur un point : la CNIL n’interdit pas de manière définitive l’utilisation de Google Analytics. La décision de mise en demeure ne s’adresse pas à Google, mais bien au gestionnaire du site qui, selon l’autorité de contrôle, utilise Google Analytics de manière non conforme.

Une nuance qui n’est pas forcément simple à comprendre…Selon les mots de la CNIL, la mise en conformité RGPD devra se faire “si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles)”. Mais la question qui brûle sur toutes les lèvres est celle-ci : est-il réellement possible d’utiliser Google Analytics de manière conforme au RGPD ? Nous verrons tout à l’heure que la CNIL penche vers la négative…

Le contexte de cette décision : les plaintes de l’association NOYB

La décision de l’autorité de régulation française fait suite à plusieurs plaintes déposées par l’association autrichienne “NOYB” : “None of Your Business” (“Ce n’est pas vos affaires”). Cette association, présidée par Max Schrems, milite depuis de longues années en faveur de la protection des internautes et de leurs données personnelles. 

Le fondement de toutes ces plaintes est simple : selon l’association, Google Analytics transfère aux Etats-Unis les données collectées depuis son service, d’une manière qui ne respecte pas les règles du RGPD.

La CNIL donne raison à l’association NOYB

La CNIL a donc donné raison au plaignant et estime que les garanties encadrant les transferts de données mises en avant par Google sont insuffisantes et n’assurent pas un niveau de protection suffisant des données personnelles des internautes français.

L’association autrichienne et la CNIL pointent du doigt le risque que les données Google Analytics atterrissent entre les mains des services de renseignement américain. Il existe en effet des lois américaines qui obligent les entreprises américaines à communiquer leurs données au service de renseignement, sur demande. Il s’agit notamment du Foreign Intelligence Surveillance Act (FISA) et du Cloud Act.

Par conséquent, juge la CNIL, le transfert des données des internautes français vers les Etats-Unis ne présente pas suffisamment de garanties en matière de data privacy.

Voici un extrait de la décision de la CNIL : “Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données”.

La CNIL emboîte le pas à ses homologues européens

Chaque pays de l’Union européenne dispose d’une autorité de régulation et de contrôle des données personnelles jouant le même rôle que la CNIL en France.

La plupart des “CNIL” européennes ont été saisies par l’association NOYB. Au total, l’association NOYB a déposé à ce jour 101 plaintes dans presque tous les Etats membres, dont 6 concernant des sites web français : Leroy Merlin, Décathlon, Free, Auchan, le Huffington Post et Sephora.

À cette date, les CNIL autrichienne, norvégienne et portugaise ont rendu des décisions allant dans le même sens que celui de la CNIL : la non-conformité des entreprises utilisant Google Analytics.

Ce n’est donc pas une affaire franco-française, loin de là. Nous assistons à un mouvement général européen, un mouvement au service d’une volonté politique de plus en plus affirmée : la souveraineté numérique européenne. En 2021, la CNIL recommandait déjà aux établissements du supérieur de ne plus utiliser les logiciels collaboratifs américains. D’autres préconisations de ce genre ont été faites par la CNIL et ses homologues européens.

Les décisions des CNIL européennes s’inscrivent dans le prolongement d’un arrêt de la CJUE de 2020

Cette décision, dont les répercussions seront majeures, s’inscrit dans le prolongement d’un arrêt du 16 juillet 2020 de la Cour de Justice de l’Union européenne, l’arrêt Schrems II, dans lequel la cour invalidait le Privacy Shield. 

Le Privacy Shield était un accord entre l’UE et les Etats-Unis en vigueur depuis 2016 encadrant le transfert de données vers les Etats-Unis.

Dans son arrêt, la Cour de Justice a estimé qu’il y avait un risque de transfert des données aux services de renseignement. Soit exactement ce que disent aujourd’hui les CNIL européennes.

Pour les observateurs attentifs, les décisions en chaîne des CNIL européennes n’ont donc rien de surprenant. On pouvait s’y attendre. L’arrêt Schrems II invalidait de fait la plupart des transferts de données vers les Etats-Unis.

Une décision qui dépasse le cas de Google Analytics

Si la décision de la CNIL française (et de ses homologues européens) était prévisible, elle n’en est pas moins majeure. Dans les faits, la majorité des entreprises utilisent Google Analytics et sont donc pleinement concernées. D’ailleurs, la CNIL précise que d’autres procédures de mise en demeure allaient être engagées dans les semaines et mois à venir.

Il faut bien comprendre aussi que Google Analytics est loin d’être le seul éditeur de services numériques à récupérer des données sur ses utilisateurs. Avec Google Analytics, ce sont toutes les entreprises de services numériques transférant des données d’internautes français vers les Etats-Unjis qui sont ou vont être directement concernées.

D’ailleurs, l’association NOYB cite également Facebook Connect dans ses plaintes. Et la CNIL française prévient que des “mesures correctrices” seront prises prochainement contre les autres services.

Maintenant, que faire ? Voici les 4 options qui s’offrent à vous

Première option : changer de solution d’analyse d’audience

La décision de la CNIL, dans sa formulation et dans son esprit, penche très clairement pour un arrêt de l’utilisation de Google Analytics et préconise l’utilisation de solutions alternatives européennes. En choisissant un acteur européen, dont les serveurs sont situés en Europe, aucun risque que les données soient transférées aux USA. CQFD.

Il existe certaines solutions de web analytics (comme Matomo ou AT Internet) proposant des services similaires à ceux du géant américain.

Pour celles et ceux que cela intéresse, voici la liste des solutions de mesure d’audience alternatives à Google Analytics (et RGPD-friendly) proposée par la CNIL.

Deuxième option : anonymiser les données de Google Analytics

Les données anonymes n’entrent pas dans le cadre du RGPD. Ce ne sont pas des données à caractère personnel (DCP), leur collecte ou extraction n’est pas soumis à la règle du consentement.

Nous avons vu que Google Analytics attribuait un identifiant à chaque visiteur. Grâce à l’IP et aux témoins de connexion, il est théoriquement possible d’identifier la personne correspondant au visiteur. C’est pour cette raison que la CNIL estime que les données de Google Analytics ne sont pas anonymes.

Une option consisterait donc à rendre anonymes les données, à les anonymiser, soit en ne déposant pas de cookie GA sur son site internet, soit en arrivant à empêcher la collecte des IP par Google. 

Cette option pose malgré tout deux problèmes :

1. L’identification de la personne doit être impossible, et ce de manière irréversible. Or, cette option ne permet d’obtenir cette garantie.
2. La puissance de l’outil Google Analytics vient en partie de sa capacité à identifier les visiteurs et à suivre leurs sessions grâce aux cookies. Ce sont ces témoins de connexion, par exemple, qui permettent de distinguer les nouveaux visiteurs des visiteurs connus. L’anonymisation des données conduirait à diminuer l’intérêt du service de Google. Dans ce cas, autant passer directement à une solution alternative à Google Analytics.

Troisième option : attendre une évolution de Google Analytics

Encore une fois, la décision de la CNIL ne vise pas directement Google Analytics. Mais comme on pouvait s’y attendre, Google a réagi à une décision qui fait peser un risque commercial très important à l’entreprise. 

Dans une annonce publiée mi-janvier 2022, aux lendemains de la décision de la CNIL autrichienne, le géant américain affirme : “Nous allons ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourront ainsi continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité”

L’annonce précise qu’un communiqué à ce sujet sera apporté dans les prochaines semaines. Wait & See…En attendant, soit vous désactivez Google Analytics (en supprimant le script GA), soit vous prenez le risque de recevoir une mise en demeure.

Quatrième option : attendre le nouveau Privacy Shield

Une autre option consisterait à continuer d’utiliser Google Analytics comme avant en attendant l’arrivée d’un nouveau “Privacy Shield”. C’est une option risquée et qu’il est déraisonnable de recommander, étant données les sanctions encourues.

Pour rappel, le Privacy Shield était un accord conclu entre l’UE et les Etats-Unis qui autorisait le transfert de données personnelles vers les Etats-Unis à condition toutefois que le niveau de protection juridique des données soit équivalent aux Etats-Unis et dans l’UE. Nous avons vu que la CJUE a estimé en 2020 que cette condition n’était pas remplie.

Il est tout à fait pensable que la décision des CNIL européennes accélère l’adoption d’un nouvel accord. Mais le chantier est immense et ce n’est certainement pas dans les prochains mois qu’un tel accord pourra voir le jour.

Par conséquent, cette option consiste à jouer avec le feu. 

Dans son annonce de janvier 2022, Google plaide pour l’instauration d’un nouvel accord USA-UE : “Si vous comptez sur un internet ouvert et mondial, vous voudrez que l’Union européenne et le gouvernement américain s’entendent bientôt sur un nouveau cadre pour les données afin que les services que vous utilisez restent opérationnels”.

Meta a exprimé le même souhait dans une déclaration du 8 février 2022 : “Comme d’autres entreprises, marques et organisations commerciales internationales et européennes, nous espérons voir des progrès continus dans les négociations pour le remplacement du Privacy Shield afin de protéger les transferts de données transatlantiques, d’assurer des protections solides de la vie privée et de garder les communautés, les économies, les entreprises et les familles mondiales connectées”.

Changer de solution d’analyse web, anonymiser les données de Google Analytics ou…attendre quelques mois : voilà les options qui s’offrent aux entreprises utilisant Google Analytics. Il existe de nombreuses zones d’ombre qui rendent la décision difficile à prendre. Le plus sage est de prendre conseil auprès d’un expert qui saura vous conseiller individuellement et apporter une solution personnalisée pour votre entreprise.