Google Analytics n’est pas conforme au RGPD, peu importe les mesures supplémentaires

En dépit des précautions que peuvent prendre les éditeurs de site et des garanties apportées par Google, l’utilisation de l’outil d’analyse d’audience Google Analytics n’est pas conforme au RGPD. [dennizn/Shutterstock]

La CNIL a souhaité se montrer claire : aucune solution durable ne permet aujourd’hui de rendre légale l’utilisation de Google Analytics, faute d’une nouvelle décision d’adéquation, qui risque encore de se faire attendre.

En dépit des précautions que peuvent prendre les éditeurs de site et des garanties apportées par Google, l’utilisation de l’outil d’analyse d’audience Google Analytics n’est pas conforme au RGPD, a souhaité clarifier la Commission nationale de l’informatique et des libertés (CNIL) dans une foire aux questions publiée le mardi (7 juin) sur son site.

Cette publication fait suite à la série de mises en demeure adressées en février par l’organisme à plusieurs entreprises, où le gendarme de la vie privée français estimait que les transferts de données vers les États-Unis collectés grâce au service de Google étaient illégaux.

Cette décision de la CNIL, près d’un mois après l’annonce similaire de son homologue autrichien, faisait suite à l’invalidation en juillet 2020 par la Cour de justice de l’UE (CJUE) du précédent régime d’adéquation garantissant un niveau de protection des données personnelles équivalent entre les États-Unis et l’UE, le « Privacy Shield ».

Les juges luxembourgeois avaient estimé qu’il y avait un risque que les services de renseignement américains accèdent aux données personnelles transférées outre-Atlantique, en raison de la législation nationale et de son extra-territorialité.

Même si une prochaine décision d’adéquation a été annoncée, rien n’est encore fait.

Les négociations sont « finalisées », a confirmé la vice-présidente de la Commission européenne, Margrethe Vestager, à l’occasion du Forum International de la Cybersécurité qui se tient à Lille, ajoutant qu’il « reste beaucoup de travail à faire » sur le plan technique et refusant de dire si cela pourrait aboutir cette année.

« Non »

En attendant, la CNIL a tenu à mettre les choses au clair. À la question de savoir s’il est « possible de paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne », la CNIL s’est fendue d’une réponse commençant par un non-équivoque « Non ». Google avait confirmé à la CNIL que toutes les données collectées par Google Analytics sont bel et bien hébergées sur le sol américain.

« Même en l’absence de transfert, le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d’accès aux données », précise par ailleurs l’autorité.

Anonymisation, chiffrement… aucune des garanties supplémentaires présentées à la CNIL ne fait l’affaire.

À propos de l’anonymisation, la CNIL reconnaît que Google propose une fonction d’anonymisation des adresses IP mais que cette dernière n’est pas applicable à tous les transferts et que Google n’avait pas pu démonter que cette anonymisation avait lieu avant le transfert aux États-Unis.

L’utilisation d’identifiants uniques, poursuit la CNIL, n’est pas non plus suffisamment, car son association avec d’autres données peut permettre l’identification de l’utilisation.

Bien consciente que Google Analytics n’est pas la seule solution proposée par Google aux entreprises, l’autorité note que « ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ».

Enfin, sur la question du chiffrement, les mesures mises techniques que peut proposer Google sont jugées inefficaces, car Google propose et conserve les clés de chiffrement, ce qui lui permet d’accéder aux données personnelles en clair s’il le souhaitait.

Seule porte de sortie pour les entreprises qui souhaitent continuer à utiliser les services de Google Analytics : recueillir le consentement explicite des personnes concernées.

Néanmoins, la CNIL précise qu’il ne s’agit pas d’une « solution pérenne et de long terme », car cette dérogation s’applique uniquement aux transferts non systématiques.

L’utilisation d’un proxy, afin d’éviter tout contact direct entre le terminal de l’internaute et les serveurs de Google, peut également être « envisageable ». Avant de préciser, là encore, que « la mise en œuvre des mesures décrites ci-dessous peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels ».

Subscribe to our newsletters

Subscribe