Le 10 février 2022, suite à des plaintes déposées par l’association NOYB, la CNIL française a publié une décision et a mis en demeure un gestionnaire de site web. En cause, l’utilisation de Google Analytics et la transmission de données vers les États-Unis.
Cette décision suit celle de la CNIL autrichienne mi-janvier et d’autres CNIL européennes ensuite. Les CNIL des différents pays sont donc accordées sur le fait que Google Analytics est un réel problème.
En quoi Google Analytics est-il illégal ?
Pour rappel, le RGPD a entre autres objectifs de protéger les données à caractère personnel des utilisateurs. L’adresse IP ou un ID permettant d’identifier un utilisateur peut donc être une donnée à caractère personnel et il s’agit de données que Google Analytics traite.
💡 Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. Une personne physique peut être identifiée directement (ex : nom / prénom), indirectement (courriel, identifiant, etc), via une seule donnée, mais aussi via le croisement d’un ensemble de données.
Pourtant, depuis sa mise en application en 2018, nous avons continué d’utiliser Google Analytics. Comme l’explique la CNIL dans sa publication, le risque n’est pas tant sur le fait que les données soient hébergées aux États-Unis (ce point pourrait être corrigé facilement dans l’absolu en hébergeant les données sur des serveurs européens) mais le fait que Google soit américain et que les renseignements américains puissent accéder à ces données personnelles en vertu du Patriot Act et du CLOUD Act.
“La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.” Publication de la CNIL
Que faire donc ?
Wait and see
Premièrement, la décision de la CNIL n’a pas valeur de loi. Il est donc nécessaire d’appliquer ces recommandations en cas de mise en demeure. Il faut néanmoins garder en tête que ces recommandations sont validées par d’autres CNIL européennes et que d’autres mises en demeures arriveront dans les prochains mois. À terme, nous pourrions voir les pays concernés légiférer et donner raison aux CNIL à grande échelle.
Pour le moment, pas de panique donc. Il semble évident que ce sujet est un enjeu clé pour Google qui vit des données utilisateurs et de la publicité et qui doit donc chercher une solution.
On comprend aussi que l’accès par les services de renseignements américains est le problème central et que cela pourrait emmener à des réflexions sur le Patriot Act et le CLOUD Act (les deux lois permettant aux USA d’accéder aux données détenues par les entreprises américaines).
⇒ Cela amène à deux grandes possibilités :
- Une ou plusieurs marques mises en demeure lancent un recours auprès du conseil d’état et celui-ci juge la décision de la CNIL trop sévère et casse la décision.
- Les Etats-Unis et l’Europe ou les Etats-Unis et Google trouvent un accord concernant le Patriot Act et le Cloud Act assurant aux citoyens européens que leurs données ne sont pas accessibles ou que celles-ci seront anonymisées.
Évidemment, l’anonymisation totale des données n’arrangerait pas Google qui vit de la publicité.
Quelles sont les alternatives si vous souhaitez changer ?
Comme dit plus tôt, pas de panique. Évidemment, si vous souhaitez switcher de solution, d’excellentes alternatives à Google Analytics existent. Nous pensons notamment à Matomo et AT Internet : deux solutions françaises que nous connaissons bien et que nous recommandons déjà à certains de nos clients.
Elles ont l’avantage de pouvoir être exemptées ou partiellement exemptées de consentement dans certains cas et qui permettent de mener des analyses poussées.
Évidemment, ces solutions ne sont pas gratuites avec soit des coûts d’accès à la plateforme, soit parce que vous devrez héberger les données sur un serveur vous appartenant et vous paierez donc le traitement et le stockage des données, mais sont d’excellentes alternatives à Google Analytics.
Pas que Google ?
En suivant la ligne directrice de la CNIL dans ces mises en demeures, nous pouvons implicitement comprendre que le problème pourrait s’étendre à bien d’autres solutions américaines, à commencer par Facebook, mais aussi d’autres régies publicitaires américaines, outils d’analyses et de scoring, etc.
D’autres décisions pourraient ainsi être prises dans les prochains mois par la CNIL concernant ces outils utilisés par les gestionnaires de sites.
