La CNIL met en garde contre l’utilisation de Google Analytics

Les entreprises françaises sont averties que l’utilisation par défaut de Google Analytics est illégale en raison de préoccupations concernant le transfert de données entre l’UE et les États-Unis.

La CNIL met en garde contre l’utilisation de Google Analytics

La Commission nationale de l’informatique et des libertés (CNIL) a ordonné à un site Web de cesser d’utiliser Google Analytics en Février 2022 pour des raisons de confidentialité des données.

La CNIL vient de publier une foire aux questions mise à jour qui jugent illégale l’utilisation par défaut de Google Analytics.

Cette foire aux questions ne vise que les décisions de mise en demeure de la CNIL concernant l’utilisation de Google Analytics à la suite de l’invalidation du Privacy Shield.

Le 16 juillet 2020, la Cour de justice de l’Union européenne a rendu un arrêt majeur : le Privacy Shield, qui encadrait les transferts de données entre l’Union européenne et les États-Unis a été invalidé car il n’offrait pas de garanties appropriées face au risque d’accès illicite d’autorités américaines aux données personnelles de résidents européens.

Seule la mise en place de mesures techniques, juridiques et organisationnelles de protection supplémentaires par les organismes pour empêcher de tels accès pourrait, en pratique, permettre de tels transferts.

En août 2020, l’association NOYB a déposé 101 plaintes aux différentes autorités de protection des données européennes concernant des sites web utilisant notamment l’outil d’analyse d’audience Google Analytics, très répandu, dont la société mère est située aux États-Unis.

La décision :

Dans la mise en demeure rendue publique le 10 février 2022 concernant un de ces organismes, la CNIL a estimé que :

  • Les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ;
  • Les données d’internautes européens sont donc transférées illégalement par le biais de cet outil.

En effet, contrairement aux États-Unis, l’Union Européenne dispose d’une législation complète sur la protection de la vie privée sous la forme du RGPD.

Une décision de la Cour de justice de l’UE de 2020 avait établi que les fournisseurs de cloud américains ne répondent pas aux exigences du RGPD. En particulier, on craint que les fournisseurs de cloud américains ne soient contraints de travailler avec les agences de renseignement et de leur transmettre les données des clients.

Par défaut, Google Analytics partage les données des clients, les transférant de l’UE vers les États-Unis. Cela donne à Google l’accès aux données et constitue donc une violation du RGPD.

La CNIL a déjà envoyé des mises en demeure à certaines organisations, mais avertit tout le monde d’apporter des modifications dès que possible.

Ces changements peuvent inclure la modification du fonctionnement de Google Analytics, afin qu’il n’exporte pas de données vers les États-Unis ou n’arrête pas complètement son utilisation. Vous trouverez ci-dessous une déclaration du site de la CNIL :

Les organismes mis en demeure disposent d’un délai d’un mois pour se mettre en conformité et justifier cette conformité auprès de la CNIL. Ce délai d’un mois peut être renouvelé, à la demande des organismes concernés.

Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD.

Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité.

 

Est-il possible de paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne ?

Non.

En réponse au questionnaire envoyé par la CNIL, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux États-Unis.

Même en l’absence de transfert, le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d’accès aux données. En effet, les organismes peuvent être obligés par des autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne.

L’article 48 du RGPD limite ces divulgations aux seuls cas où le pays tiers demandeur et l’Union européenne ou l’État membre concerné sont parties d’un accord international prévoyant de telles communications.

Est-il possible de faire en sorte de paramétrer Google Analytics afin de ne transférer vers les États-Unis que des données anonymes ?

Dans le cadre de la mise en demeure, Google a indiqué utiliser des mesures de pseudonymisation, mais non d’anonymisation. Google propose bien une fonction d’anonymisation des adresses IP, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux États-Unis.

Par ailleurs, la seule utilisation d’identifiants uniques permettant de différencier les individus peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation. Ces données permettent un suivi précis des utilisateurs, dans certains cas sur plusieurs appareils distincts.

Si la CEPD admet dans ses recommandations du 18 juin 2021. la possibilité d’usage de la pseudonymisation en tant que mesure supplémentaire, son usage est soumis à une analyse visant à s’assurer que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne, même en prenant en compte les moyens conséquents dont disposent les autorités susceptibles de vouloir procéder à une telle réidentification.

Enfin, l’utilisation conjointe de Google Analytics avec d’autres services de Google, notamment de marketing, peut amplifier le risque de suivi. En effet, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites.

Existe-t-il des outils alternatifs à Google Analytics ?

La CNIL a publié une liste d’outils de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés.

Cette liste regroupe les outils qui ont d’ores et déjà démontré à la CNIL qu’ils peuvent être paramétrés afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, et ainsi ne pas requérir le consentement de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés.

Cette liste n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux, notamment les conséquences de l’arrêt « Schrems II ».

Source : CNIL