CNIL et Google Analytics : que se passe-t-il vraiment ?

Par : Martin Champetier

3 minutes

Data

Partager sur :

CNIL et Google Analytics : que se passe-t-il vraiment ?

Début février 2022, coup de tonnerre dans l’univers du digital. Les plus alarmistes déclarent sur leurs réseaux que Google Analytics a été interdit par la CNIL et que tous ses utilisateurs ont un mois pour changer d’outil sous peine de sanctions. Qu’en est-il réellement ? On fait le point.

Retrouvez notre webinaire du 26 avril dernier animé par Martin Champetier

La mise en demeure d’un gestionnaire de site web

Tout part de l’association autrichienne NOYB (None Of Your Business). Elle lutte pour la protection de la vie privée et alerte les institutions européennes sur certains manquements par le biais de plaintes (plus de 100 plaintes déposées à travers les pays membres). Elle cible notamment l’outil de mesure d’audience américain Google Analytics et ses envois de données vers les États-Unis.

La CNIL (la Commission nationale de l’informatique et des libertés), chargée d’informer et d’accompagner les professionnels sur la protection des données personnelles, se saisit alors du dossier. En étudiant le cas de ce gestionnaire de site web, elle estime qu’avec son utilisation de Google Analytics, le RGPD (Règlement général sur la protection des données) n’est pas respecté. Elle n’a pas d’autre choix que de le mettre en demeure. Résultat : l’organisme dispose d’un mois pour se mettre en conformité avant d’éventuelles sanctions.

Qu’est-il reproché dans l’utilisation de Google Analytics ?

Les États-Unis et l’UE avaient signé un projet d’accord commun, le Privacy Shield, qui devait permettre d’homogénéiser la protection des données personnelles et donc de « faciliter » le transfert de données d’une zone à l’autre. Mais celui-ci a été invalidé en juillet 2020 par la CJUE (Cour de justice de l’Union européenne) via l’arrêt « Schrems II ». Ce dernier juge que les entreprises et opérateurs américains, étant soumis à la législation américaine, doivent permettre aux services de renseignements d’accéder à ces données (une obligation imposée par le Patriot Act).

Les européens se retrouvent donc dans la situation où leurs données personnelles peuvent être consultées par les renseignements américains sans réellement pouvoir l’empêcher. Et c’est justement ce que la CNIL reproche à Google Analytics : la consultation de données personnelles européennes par le biais de services de renseignement américains.

Dans le cadre de Google Analytics, on parle de données personnelles dès l’identifiant cookie (généré lors de votre première visite sur le site qui l’utilise) et dès lors qu’une donnée permet, avec ou sans recroisement, de connaître l’identité de l’utilisateur (ex : un code promo personnalisé, un ID de compte client, une IP, un ID de transaction etc..).

Le problème ne s’applique pas qu’à Google Analytics, mais à de nombreuses solutions américaines largement utilisées dans les métiers du digital (CRM, réseaux sociaux, CMS, etc…). Il concerne toutes les données personnelles collectées par des solutions américaines, sujettes à la législation outre-Atlantique. 

La société américaine Meta, propriétaire de Facebook et d’Instagram, a sommé les institutions européennes et américaines, par l’intermédiaire de son directeur Mark Zuckerberg, de se mettre d’accord sur un mode de fonctionnement, sous peine de quitter le marché UE.

Google va-t-il aussi réagir ?

Sur le plan politique, le géant du web s’affiche aux côtés des sociétés américaines qui réclament une législation cohérente entre les États-Unis et l’UE.

D’un point de vue technologique, les équipes techniques sont déjà sur le coup. Un nouveau bandeau d’information est apparu sur la plateforme Analytics, annonçant que la version Universal Analytics prendra fin en juillet 2023, laissant place à GA4.

Outre la promesse d’un outil plus performant pour les marketeurs amateurs d’insights innovants, la solution semble aussi mieux répondre aux problématiques de réglementations. À travers sa conférence du 23 mars 2022, il a été notamment annoncé que non seulement l’IP y était cryptée de manière automatique, mais aussi qu’en fonction de celle-ci les données resteront sur des serveurs de la même zone. Reste à savoir si cela sera suffisant pour que les renseignements ne puissent y accéder.

Quelles mesures faut-il prendre ?

Le web a déjà amorcé un virage majeur et la réglementation évolue. Avec la mise en place du RGPD, notamment, les navigateurs suivent le pas et les outils tentent de s’adapter. Dans ce contexte, inutile de se précipiter.

Malheureusement, il n’existe aucune solution clé en main : chaque mesure doit être adaptée aux spécificités des utilisateurs. Si la CNIL a proposé des solutions alternatives de mesure d’audience, celles-ci répondent-elles aux problématiques de budget et aux besoins de votre entreprise en matière d’indicateurs, par exemple ? Un conseil : prenez le temps, avec les personnes compétentes, de construire votre stratégie de collecte.

Si les négociations entre les US et l’UE semblent sur la bonne voie, il est préférable de mettre en place une stratégie flexible qui puisse s’adapter aux différents scénarios. N’hésitez pas à vous rapprocher de votre DPO pour analyser plus finement la situation et le droit en question.