Les récentes annonces de la CNIL concernant l’utilisation de l’outil Google Analytics

Le mardi 7 juin 2022, la Commission Nationale Internet et Libertés (CNIL) a apporté des précisions concernant l’utilisation de l’outil Google Analytics.

Suite à l’invalidation du Privacy Shield en 2020, l’association NYOB avait envoyé 101 plaintes identiques, interrogeant diverses autorités de protection des données sur la conformité de l’outil d’analyse d’audience Google Analytics au RGPD.

Dès février 2022, la CNIL, après un processus de coopération avec ses homologues européens, avait mis en demeure plusieurs organismes utilisant Google Analytics de se conformer au RGPD. Elle avait constaté, à l’instar de son homologue autrichienne, que l’utilisation de l’outil n’était pas conforme, du fait notamment des transferts illégaux de données personnelles engendrés vers les États-Unis. Au fil des décisions rendues sur cet outil, les autorités de protection des données avaient constaté que son utilisation n’était pas conforme, et que les mesures mises en œuvre par Google n’étaient pas suffisantes au regard du RGPD. Les autorités n’avaient pas pour autant proposé d’autres solutions que de “si nécessaire, ne plus utiliser cet outil dans les conditions actuelles”, laissant les professionnels dans l’incertitude et les contraignant à rechercher des paramétrages et mesures techniques pouvant permettre de continuer à utiliser Google Analytics.

La CNIL confirme aujourd’hui les inquiétudes des gestionnaires de sites web et affirme qu’une simple modification du paramétrage de l’outil est insuffisante. En effet, elle soutient qu’il est impossible de paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne (UE), puisque l’ensemble des données collectées sont hébergées aux États-Unis.

Seules des solutions permettant de rompre ce contact entre le terminal et le serveur sont envisageables selon la CNIL, et pourraient permettre d’éviter que l’internaute soit ré identifiable. La CNIL avance donc la possibilité d’utiliser un serveur mandataire (ou « proxy »), mais prévient que le serveur devra remplir un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire est valable.

La CNIL avertit également sur le coût et la complexité potentielle de telles mesures pour les professionnels, qui peuvent toujours opter vers une autre solution ne réalisant pas de transferts de données personnelles hors UE.

Avocat

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

Les récentes annonces de la CNIL concernant l’utilisation de l’outil Google Analytics

L'ÉQUIPE

Juliette Goutorbe

BarbaraBertholet

VictoriaLafite

GuylaineLombard

JoséphineLenglart Frémont

Nicolas Moreau

ElodieCourbo

LucasDallongeville

Elise Dufour

AdrienMorisse

Juliette
Goutorbe

Barbara
Bertholet

Victoria
Lafite

Guylaine
Lombard

Joséphine
Lenglart Frémont

Nicolas
Moreau

Elodie
Courbo

Lucas
Dallongeville

Elise
Dufour

Adrien
Morisse