Les récentes annonces de la CNIL concernant l’utilisation de l’outil Google Analytics
Le mardi 7 juin 2022, la Commission Nationale Internet et Libertés (CNIL) a apporté des précisions concernant l’utilisation de l’outil Google Analytics.
Suite à l’invalidation du Privacy Shield en 2020, l’association NYOB avait envoyé 101 plaintes identiques, interrogeant diverses autorités de protection des données sur la conformité de l’outil d’analyse d’audience Google Analytics au RGPD.
Dès février 2022, la CNIL, après un processus de coopération avec ses homologues européens, avait mis en demeure plusieurs organismes utilisant Google Analytics de se conformer au RGPD. Elle avait constaté, à l’instar de son homologue autrichienne, que l’utilisation de l’outil n’était pas conforme, du fait notamment des transferts illégaux de données personnelles engendrés vers les États-Unis. Au fil des décisions rendues sur cet outil, les autorités de protection des données avaient constaté que son utilisation n’était pas conforme, et que les mesures mises en œuvre par Google n’étaient pas suffisantes au regard du RGPD. Les autorités n’avaient pas pour autant proposé d’autres solutions que de “si nécessaire, ne plus utiliser cet outil dans les conditions actuelles”, laissant les professionnels dans l’incertitude et les contraignant à rechercher des paramétrages et mesures techniques pouvant permettre de continuer à utiliser Google Analytics.
La CNIL confirme aujourd’hui les inquiétudes des gestionnaires de sites web et affirme qu’une simple modification du paramétrage de l’outil est insuffisante. En effet, elle soutient qu’il est impossible de paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne (UE), puisque l’ensemble des données collectées sont hébergées aux États-Unis.
Seules des solutions permettant de rompre ce contact entre le terminal et le serveur sont envisageables selon la CNIL, et pourraient permettre d’éviter que l’internaute soit ré identifiable. La CNIL avance donc la possibilité d’utiliser un serveur mandataire (ou « proxy »), mais prévient que le serveur devra remplir un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire est valable.
La CNIL avertit également sur le coût et la complexité potentielle de telles mesures pour les professionnels, qui peuvent toujours opter vers une autre solution ne réalisant pas de transferts de données personnelles hors UE.