En juin 2022, la CNIL a mis en ligne des recommandations pour l’utilisation sur les sites d’Internet d’outils de mesure d’audience, suite à l’affirmation de sa part de la non-conformité de Google Analytics au RGPD.
Contexte : La fin du Privacy Shield et la déchéance de Google Analytics
Pour pouvoir exporter des données personnelles vers un pays tiers à l’Union Européenne, il faut en principe que le destinataire assure un niveau de protection équivalent à celui du RGPD, condition qui est considérée comme remplie lorsque le pays en question bénéficie d’une décision d’adéquation ou que les parties au transfert de données s’imposent le respect de garanties appropriées (via l’utilisation de clauses types notamment).
En juillet 2020, la Cour de justice de l’Union Européenne a invalidé le Privacy Shield, accord négocié entre les Etats-Unis et l’Union Européenne qui jusque là certifiait la sécurité des transferts de données personnelles entre l’Union Européenne et les Etats-Unis.
La Cour de justice a en effet considéré que le droit américain n’offrait pas une protection suffisante des données personnelles et donc n’assurait pas des garanties équivalentes à celles du RGPD.
Tirant les conséquences de cette décision, plusieurs organismes européens – et notamment la CNIL pour la France – ont considéré qu’utiliser Google Analytics n’est pas conforme à la réglementation sur les données personnelles
Cet outil créé par Google, qui permet d’analyser la fréquentation d’un site web, transfère en effet automatiquement à Google, donc aux Etats-Unis, certaines données personnelles des utilisateurs des sites qui l’utilisent, notamment leur adresse IP.
Cet outil étant jusque-là très populaire et utilisé, et face aux plaintes de nombreux utilisateurs, la CNIL a communiqué en juin dernier un guide pour la mise en œuvre d’outils de mesure d’audience sans contrevenir aux dispositions du RGPD.
Solution : Seule l’utilisation de proxys permet « pour le moment » selon la CNIL d’assurer la conformité RGPD
L’insuffisance des paramétrages proposés par Google Analytics
La CNIL relève tout d’abord qu’il n’est pas possible de paramétrer Google Analytics de manière à simplement faire cesser le transfert de données vers les Etats-Unis et à assurer aux internautes une protection suffisante de leurs données.
En effet, quels que soient les paramétrages choisis par l’utilisateur, aucun ne permet de mettre un terme au transfert de l’adresse IP des utilisateurs.
Or, à travers la collecte de cette adresse et le recoupement avec d’autres informations associées au terminal utilisé par cette adresse, Google pourrait être en mesure de réidentifier l’utilisateur concerné.
L’utilisation de proxys comme alternative
La CNIL estime en conséquence que la seule solution envisageable est l’utilisation de services de serveurs « proxy ».
Il s’agit d’un serveur, qui concrètement reçoit les données du terminal de l’utilisateur du site web et est capable de les filtrer et/ou de les pseudonymiser avant de les retransférer à Google.
Ainsi, un serveur proxy agit comme un filtre de protection entre l’utilisateur et Google : il peut donc être utilisé pour s’assurer que l’adresse IP ne soit pas communiquée à Google et anonymiser les données (qui perdent ainsi leur qualité de données personnelles).
Dès lors, si l’ensemble des données récoltées sur le terminal de l’utilisateur sont anonymisées, leur transfert aux Etats-Unis ne pose plus de problème et ne présente pas de risque d’être illégal.
Attention toutefois à bien utiliser un serveur proxy qui soit hébergé en Europe, sous peine de ne faire finalement que décaler le problème !
L’arrivée prochaine d’un « nouveau » Privacy Shield » qui devrait régler la situation…
Début octobre les Etats-Unis ont informé de la signature d’un nouveau décret par le président américain Joe Biden, pour un nouveau cadre relative aux transferts de données entre les États-Unis et l’Union européenne.
Partant de là, un nouveau « Privacy Shield » devrait voir le jour et autoriser de nouveau le transfert de données personnelles opéré via Google Analytics.
A suivre donc.
Si vous vous interrogez sur la législation liée aux données personnelles, n’hésitez pas à soumettre votre cas à un avocat RGPD du cabinet SOLVOXIA.