Réflexion sur l’utilisation de Google Analytics

Position européenne des autorités de protection des données

Le Contrôleur européen de la protection des données (CEPD), les autorités de contrôle autrichienne (DSB) et française (CNIL) affirment que l’utilisation des cookies Google Analytics dans les conditions actuelles viole les articles 44 et suivants du Règlement Général sur la Protection des Données (RGPD).

Google Analytics crée un identifiant unique pour chaque visiteur d’un site internet afin de déterminer le nombre de visiteurs et la portion de trafic générée par ces derniers. Les données pouvant être collectées sont l’adresse IP, les données relatives à l’appareil / au navigateur, et les activités effectuées sur le site web. Les gestionnaires de sites utilisant Google Analytics peuvent paramétrer dans une certaine mesure les données collectées et notamment masquer l’adresse IP afin que Google Analytics n’utilise qu’une partie de l’adresse IP collectée plutôt que l’intégrité.

Les données collectées constituent donc des données personnelles (cf. Considérant 30 du RGPD : « Les personnes physiques peuvent se voir associer (…) des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d'autres identifiants (…). Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »). Elles sont transférées par Google aux États-Unis (lieu d’hébergement des données). Or les autorités précitées considèrent ces transferts de données personnelles illégaux car ils ne sont pas suffisamment encadrés à l’heure actuelle. La signature de clauses contractuelles types de la Commission Européenne ainsi que l’ajout des mesures supplémentaires prises par Google sont jugées insuffisantes contre de potentielles ingérences des agences de renseignements américaines.

Solutions envisageables à date

Dans ce contexte, les éléments suivants peuvent être étudiés :

Étape 1 : S’interroger sur l’utilisation réelle de Google Analytics

De nombreux gestionnaires de sites, ayant activé la fonctionnalité Google Analytics, n’exploitent en réalité pas les données collectées (en particulier lorsque le site est peu connu du public ou peu visité). Dans cette situation, il est recommandé de retirer Google Analytics du site internet concerné.

Si les données sont exploitées par le gestionnaire du site, passer à l’étape 2.

Étape 2 : Opter pour une autre solution de mesure d’audience

Selon la CNIL, dans la mesure où les transferts de données vers les États-Unis ne sont pas aujourd’hui suffisamment encadrés, il pourrait être nécessaire de cesser d’utiliser Google Analytics dans les conditions actuelles et d’avoir recours, le cas échéant, à un outil n’entrainant pas de transfert.

Certaines solutions de mesure d’audience, listées par la CNIL, sont d’ailleurs exemptées de consentement des internautes en ce qu’elles répondent à certains critères notamment la production de données statistiques anonymes.

Si la migration vers une autre solution n’est pas réalisable pour l’organisme concerné, passer à l’étape 3.

Étape 3 : Évaluer le recueil d’un consentement explicite pour les transferts hors Union Européenne (UE)

Sous réserve des futures décisions et guidances des autorités de protection des données, il pourrait être envisagé de recueillir le consentement explicite des internautes pour que leurs données soient transférées en dehors de l’Union Européenne. Ainsi, suite à l’acceptation des cookies concernés par les internautes, ceux-ci se verraient demander de consentir aux transferts hors UE de leurs données. Pour être valide, le consentement devrait être explicite et la personne devrait avoir été informée préalablement des risques que ce transfert peut comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées (cf. article 49 du RGPD). A noter que la lassitude de devoir consentir une deuxième fois pourrait être accrue pour les internautes.

Enfin, il y a lieu aussi de suivre les éventuelles évolutions de Google Analytics. Dans un communiqué du 4 février 2022, faisant suite à la décision de l’autorité autrichienne de la protection des données, Google indique notamment l’ajout de paramètres permettant à leurs clients de personnaliser davantage les données analytiques qu’ils recueillent.

Les défis à venir

Le champ d’action des autorités européennes de protection des données va vraisemblablement s’étendre à d’autres outils utilisés par des sites internet qui donneraient lieu à des transferts de données personnelles vers les États-Unis. Les solutions envisagées ci-dessus pourraient donc être évaluées pour ces autres outils.

De manière plus générale, les questions relatives aux transferts de données hors UE vont être au cœur d’une des thématiques prioritaires de contrôle de la CNIL en 2022 à travers le recours par des organismes à des solutions cloud.

* Pour en savoir plus, consulter le site de la CNIL