Google Analytics dans la ligne de mire de la CNIL

Après l'Autriche, la France déclare à son tour que l'utilisation de Google Analytics est illégale au sein de l'Union européenne. La commission nationale d'informatique et des libertés (CNIL), autorité française en matière de protection des données, a mis en demeure le gestionnaire d'un site web après avoir constaté un transfert illégal des données vers les Etats-Unis et une violation du règlement général de la protection des données (RGPD). Dans cet article, nous revenons sur l'historique qui a mené à cette décision et nous vous donnons des alternatives à l'utilisation de Google Analytics. 

 

Sommaire :

1. Le contexte juridique

2. Est-ce la fin de Google Analytics ?

3. Quelles alternatives à Google Analytics ?


1. Le contexte juridique

La CNIL a mis un site web en demeure car celui-ci utilisait Google Analytics et transférait, selon la CNIL, illégalement des données utilisateurs vers les Etats-Unis. Le risque que ces données personnelles, dont la collecte et le traitement sont strictement réglementés par le règlement européen sur la protection des données (RGPD) intervient dans un contexte de renforcement et d'affirmation de la protection des données des personnes au sein de l'UE.  Retour sur les décisions juridiques qui ont motivé la prise de position de la CNIL face à l'utilisation de Google Analytics.

Transfert des données personnelles (1)

Cliquez sur l'image pour l'agrandir

Dans l'arrêt Schrems II prononcé le 16 juillet 2020, la Cour de Justice de l'Union Européenne (CJUE) invalidait le Privacy Schield, accord de protection des données personnelles négocié entre l'UE et les Etats-Unis. La CJUE alors avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si ces transferts n’étaient pas correctement encadrés. 

Dès lors, le Privacy Shield ne pouvait plus servir de fondement lors d’un transfert des données personnelles de l'UE vers les Etats-Unis. 

Depuis, c'est alors au responsable du traitement des données de chaque entité de s'assurer que “[toutes] les dispositions [de l’article 44 de ce même article] ont été appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le [RGPD] soit garanti."

En janvier 2021, l'association NOYB (None Of Your Business), co-fondée par Max Schrems avait déposée plainte contre un site interne au parlement européen qui permettait aux employés du Parlement de prendre des rendez-vous en ligne pour se faire tester contre la Covid-19. Était reproché au site le transfert illégal de données vers les Etats-Unis via l’utilisation de Google Analytics et Stripe (service de paiement).  

Suite à cela, le Contrôleur Européen de la Protection des Données (CEPD) a jugé les mesures mises en place par Google Analytics insuffisantes et a mis, le 5 janvier dernier le Parlement en demeure de corriger les manquements constatés. 

La CNIL vient alors confirmer la prise de position européenne et voit également un risque pour les personnes utilisatrices de sites français que leurs données personnelles soient, via Google Analytics, transférées de manière illégale vers les Etats-Unis. Cette nouvelle soulève pour tous les gestionnaires de site la question suivante : Puis-je continuer d'utiliser Google Analytics dans mes analyses d'audience ou bien dois-je chercher des alternatives ?


📖Vous aimerez aussi : RGPD, quelles données collecter et sous quelles conditions ?


2. Est-ce la fin de Google Analytics ? 

Le message des pays de l'UE et de la CNIL est clair : “Nous ne voulons pas de Google Analytics sur le sol européen tant qu'ils ne respectent pas nos directives en matière de transfert de données". 

Source : Compte Twitter de Max Schrems 

En France, la CNIL recommande ainsi “que les outils servent uniquement à produire des données statistiques anonymes permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux”. La CNIL laisse ainsi la porte ouverte à la poursuite de l'utilisation de Google Analytics - mais seulement avec des changements substantiels qui garantiraient que seules des "données statistiques anonymes" soient transférées aux États-Unis.

Attention : cette recommandation de la CNIL s'adresse aussi aux sites dont le siège social est à l’étranger mais qui sont présents sur le marché français.

Vous vous demandez forcément si vous pouvez continuer à utiliser Google Analytics. Voici ce que dit Google à ce sujet : 

Nous restons convaincus que les vastes mesures supplémentaires que nous avons prises permettent raisonnablement à nos clients de protéger les données de façon pratique et efficace. Toutefois, notre engagement est de répondre à leurs besoins commerciaux et à leurs exigences de conformité spécifiques en leur fournissant les outils nécessaires pour identifier les données collectées et leur utilisation. Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu'ils recueillent. Ils pourront ainsi continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité. Nous comptons vous donner plus d'informations à ce sujet dans les semaines à venir.” 

3. Quelles alternatives à Google Analytics ?

Ce communiqué de la CNIL a des répercussions pour tous les utilisateurs de sites internet français qui utilisent Google Analytics et dont les données sont exportées. 

Dans les conditions actuelles et en attendant que Google apporte de nouvelles garanties pour l’utilisation de son outil Google Analytics, il paraît plus prudent de renoncer à son utilisation et d’opter comme le recommande la CNIL pour un autre outil plus respectueux du RGPD. Dans ce cas, une dérogation à l’obligation de consentement pourrait être accordée s’il est assuré qu’aucun transfert illégal de données en dehors de l’UE n’a eu lieu. 

Pour être conforme au RGPD, il est essentiel d’utiliser des services de mesure et d'analyse d'audience qui servent uniquement à produire des données statistiques anonymes. Nous vous présentons 2 alternatives à Google Analytics :

  • AT Internet Analytics  
    est un outil 100% français qui permet d’analyser l’audience et de récolter des informations liées aux visites des internautes. Leur déclaration de protection des données précise que les données personnelles ne sont traitées qu’au sein d’infrastructures sécurisées localisées en Union européenne. Le seul bémol, son prix avec un abonnement de 355 € par mois. 

  • Fathom Analytics 
    est un outil canadien qui est également conforme au RGPD puisque les données des internautes sont traitées sur des serveurs allemands. Son prix est plus intéressant que son homologue AT Internet Analytics mais son point faible est qu’il n’est disponible qu’en anglais.
     

À retenir : 

Cette sonnette d'alarme donnée par l'Autriche puis la France ne va pas s'arrêter là puisque qu'une décision est attendue prochainement aux Pays-Bas. On voit bien la nécessité pour les propriétaires de sites web européens de faire appel à des prestataires européens ou hébergeant leurs données au sein de l'UE. En attendant d’en savoir plus, vous pouvez opter pour un outil alternatif à Google Analytics ou vous tenir informés de l'évolution de la jurisprudence. Un nouvel accord entre l'UE et les Etats-Unis n'est pas à exclure et nous ne manquerons pas de vous tenir au courant. 

New call-to-action

15-02-22

Charlotte Merle

Charlotte Merle

Charlotte Merle est spécialisée en Marketing digital et manager de contenu pour le marché français chez Trusted Shops.

© 2024 Trusted Shops AG  |  Mentions légales  |  Protection des données  |  Paramètres des cookies