Utilisateurs de Google Analytics : dans la ligne de mire de la CNIL ?

10 août 2022

Le 10 février 2022, la CNIL a mis en demeure plusieurs entreprises, en raison de leur utilisation de Google Analytics jugée «  non conforme au RGPD  ». La raison de cette sanction ? Des transferts illégaux de données vers les Etats-Unis. Même si des clauses contractuelles ont été mises en place entre Google et les utilisateurs de Google Analytics, celles-ci ne garantissent pas un niveau de protection suffisant pour être conforme au RGPD. La CNIL avait quelques mois auparavant, communiqué dans un article le 21 septembre 2021 une liste de solutions alternatives examinées et validées par celle-ci.

1) Google Analytics non conforme au RGPD, les conséquences

Le Privacy Shield (dispositif qui permettait aux citoyens européens de garantir des droits complets lorsque leurs données étaient transférées à des entreprises certifiées aux Etats-Unis) a été invalidé courant juillet 2020 par la Cour de Justice de l’Union Européenne. Cette législation n’offrait pas suffisamment de garantie de sécurité des données personnelles des résidents européens.

Suite à cet arrêt (appelé «  Schrems II  »), l’association NOYB a déposé plusieurs plaintes auprès de la CNIL, dans le but de dénoncer l’utilisation que font certaines sociétés françaises de l’outil de mesure d’audience des sites web Google Analytics. Après enquêtes, la CNIL a validé ces plaintes et mis en demeure les sociétés ciblées afin que celles-ci se mettent en conformité. En effet, selon la CNIL, l’outil de mesure Google Analytics entraînait, tel qu’il était utilisé, des transferts de données vers les Etats-Unis mal encadrés et ne répondant donc pas au RGPD.

2) Le paramétrage de Google Analytics insuffisant pour être en conformité

Dans sa FAQ publiée le 7 juin 2022, la CNIL confirme que malgré les clauses contractuelles mises en place entre les sociétés et Google concernant l’utilisation de Google Analytics, celles-ci ne peuvent pas assurer un niveau de protection suffisant :

«  Les organismes mis en demeure avaient établi avec Google des clauses contractuelles types, que Google propose par défaut aux utilisateurs de cette solution. Ces clauses contractuelles types ne peuvent, à elles seules, assurer un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales.

Dans sa réponse aux demandes de la CNIL, Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens.  »

3) Les alternatives proposées par la CNIL

Une liste publiée par la CNIL regroupe un grand nombre d’outils de mesure d’audience, vérifiés et validés par celle-ci, qui garantissent aux entreprises :

• - des paramètrages qui permettent de se limiter à ce qui est strictement nécessaire à la fourniture du service
• - la non-obligation de requérir le consentement de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés

Il est toutefois important de préciser qu’à l’heure actuelle, cette liste n’examine pas les enjeux posés par les transferts internationaux, notamment les conséquences de l’arrêt «  Schrems II  ».

Cette liste donnée par La CNIL ne fait pas état de la qualité de ces prestations mais uniquement du respect du RGPD :

• - Analytics Suite Delta
• - SmartProfile
• - Wysistat Business
• - Piwik PRO Analytics Suite
• - Abla Analytics
• - BEYABLE Analytics
• - etracker Analytics
• - Retency Web Audience
• - Nonli
• - CS Digital
• - Matomo Analytics
• - Wizaly
• - Compass
• - Statshop
• - Eulerian
• - Thank-You Marketing Analytics
• - eStat Streaming
• - TrustCommander

Goons vous accompagne dans la mise en conformité de votre outil de statistiques.
N’hésitez pas à nous contacter pour en discuter.