Google Analytics : analyse et solution pour pallier l’absence de conformité de l’outil avec le RGPD

Le 10 février 2022, la CNIL a mis en demeure plusieurs organismes concernant l’absence de conformité de l’outil Google Analytics avec le Règlement Général de la Protection des Données Personnelles (ci-après le « RGPD »), notamment en raison du transfert de données vers les Etats-Unis sans garanties suffisantes pour les droits des utilisateurs européens. 

Tout a commencé le 16 juillet 2020 avec l’arrêt majeur rendu par la Cour de justice de l’Union européenne : le Privacy Shield, qui encadrait les transferts de données entre l’Union européenne et les Etats-Unis, a été invalidé car il n’offrait pas de garanties appropriées face au risque d’accès illicite d’autorités américaines aux données personnelles de résidents européens. 

Ainsi, il apparaît essentiel de réfléchir à la mise en place de mesures techniques, juridiques et organisationnelles de protection complémentaires par les organismes pour empêcher de tels transferts. 

Au sein de sa mise en demeure, la CNIL a mis en valeur deux points importants :

• Les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ;

• Les données d’internautes européens sont donc transférées illégalement par le biais de cet outil.

L’avis rendu par la CNIL a eu un impact important sur l’utilisation de l’outil Google Analytics.

Dorénavant, l’ensemble des responsables de traitement utilisant Google Analytics doivent considérer cette utilisation comme illégale au regard du RGPD.

Par ailleurs, la CNIL énonce clairement qu’ils doivent se tourner vers un prestataire proposant des garanties suffisantes de conformité (elle a d’ailleurs publié une liste d’outils alternatifs de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés).

Il est essentiel de souligner que la décision de la CNIL n’est pas la première à intervenir au niveau européen.

En effet, en janvier, l’autorité de la protection des données autrichiennes a rendu une décision qui va dans le même sens que celle de l’autorité française.

Ainsi, les conséquences ne sont pas isolées et, au contraire, la CNIL est soutenue par plusieurs pays européens.

En vue de mesurer l’impact d’une telle décision, il convient d’analyser les clauses contractuelles types et les garanties supplémentaires envisagées pour permettre d’utiliser Google Analytics.

La CNIL ne manque pas d’indiquer que les clauses contractuelles types ne suffisent pas à assurer un niveau de protection en accord avec le texte du RGPD et plus particulièrement lors d’une demande d’accès d’autorités étrangères (prévue par les lois locales).

En tout état de cause, il apparaît impossible de paramétrer l’outil afin de ne pas transférer de données personnelles hors de l’Union Européenne. Google, lui-même, a précisé que l’ensemble des données collectées par le biais de son outil était hébergé aux Etats-Unis.

Toutefois, Google Analytics est aujourd’hui l’outil numéro un dans le domaine de mesure d’audience, il permet à une entreprise de comptabiliser les visiteurs et identifier la manière dont ces derniers utilisent le site.

Ainsi, il convient de s’attarder sur les solutions qui peuvent être mises en place pour assurer la conformité de l’outil avec le RPGD.

Le Contrôleur Européen de la Protection des Données (ci-après « CEPD ») admet la possibilité d’usage de la pseudonymisation en tant que mesure supplémentaire. Toutefois son usage est soumis à une analyse prouvant que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne.

Compte tenu des exigences de la CNIL, d’autres solutions sont envisagées par Google telles que le chiffrement des données et la technique de proxyfication.

Le chiffrement des données est une mesure mise en avant par Google pour présenter une garantie supplémentaire à la CNIL dans le cadre de l’utilisation de son outil.

Pour être plus précis, le chiffrement des données est un concept de cryptographie consistant à convertir des données d’un format lisible en un format codé qui ne peut être lu ou traité qu’après déchiffrement.

Or, Google LLC procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession aux autorités, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles.

Ainsi, la solution du chiffrement ne représente pas une garantie supplémentaire permettant d’assurer une absence de réidentification des personnes concernées car l’adresse IP reste une donnée traitée par Google.

La proxyfication consiste à utiliser un serveur « proxy » ou également appelé « serveur mandataire » pour éviter un contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure Google Analytics.

Le « proxy » permet de masquer l’adresse IP d’un utilisateur. Plus concrètement, c’est un serveur intermédiaire qui sépare les utilisateurs, des sites web sur lesquels ils naviguent.

Les serveurs proxy assurent différents niveaux de fonctionnalité, de sécurité et de confidentialité pour vos données.

En effet, le serveur proxy peut modifier votre adresse IP afin que le serveur Web ne puisse pas savoir votre position dans le monde. Il peut également chiffrer vos données, ce qui les rend illisibles pendant leur transit.

Enfin, un tel serveur peut bloquer l’accès à certaines pages Web, uniquement d’après leur adresse IP.

D’après les recommandations officielles de la CNIL et dans le but d’assurer une validité de la proxyfication, il convient de respecter les mesures suivantes :

• L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure ;
• Le remplacement de l’identifiant utilisateur par le serveur de proxyfication ;
• La suppression de l’information de site référent (ou « référer ») ;
• La suppression de tout paramètre contenu dans les URL collectées ;
• Le retraitement des informations pouvant participer à la génération d’une empreinte ;
• L’absence de toute collecte d’identifiant entre site ou déterministe ;
• La suppression de toute autre donnée pouvant mener à une réidentification.

La mise en place d’un tel dispositif correspond à la pseudonymisation des données avant export.

Un tel export n’est possible que si le responsable de traitement a établi que les données personnelles pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable, même si elles sont recoupées avec d’autres informations.

L’ensemble des informations transmises ne doit permettre en aucun cas une réidentification de la personne concernée.

La seule solution pour continuer l’utilisation de l’outil Google Analytics - tout en assurant une conformité au RGPD - apparaît être la proxyfication.

Or, il est essentiel de bien comprendre les enjeux d’une telle solution et son impact sur le quotidien de votre entreprise.

Si vous envisagez une telle solution, il apparaît primordial de comprendre les fonctionnalités que vous apporte le serveur proxy et de s’assurer surtout qu’il réponde à vos besoins.

Chez PLR Avocats, nous nous efforçons de tenir une veille juridique régulière pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.

Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.

PLR Avocats prend également en charge les missions du DPO.

Pour nous contacter, c'est ICI !