Google Analytics et CNIL
Google Analytics Universal va être remplacé le 1er juillet par Google Analytics 4 en raison des condamnations de la CNIL sur les dangers et le manque de protection pour les données personnelles du transfert de données personnelles vers les Etats-Unis.
CNIL et Google Analytics : le 16 juillet 2020, la Cour de justice de l’Union Européenne a rendu sa décision Privacy Shield qui a établi l’absence de garantie appropriée des transferts de l’Union vers les Etats-Unis dans le cadre de la protection des données personnelles de résidents européens.
Dans cette même veine, plusieurs décisions ont suivi la décision Privacy Shield comme une décision autrichienne du 22 avril 2022 qui a condamné Google Analytics pour son absence de conformité au RGPD.
Dans la suite de cette décision, en août 2020, de multiples plaintes ont été effectuées contre les sites web utilisant Google Analytics, dont la société mère est aux Etats-Unis.
La CNIL a donc mis en demeure Google du fait de l’absence de garanties suffisantes pour protéger les personnes dans l’Union Européenne d’un accès à leurs données personnelles par les autorités nationales et pour l’illégalité du transfert des données d’internautes européens par cet outil.
Et le résultat de cette mise en demeure est la mise en conformité de Google Analytics par le biais de sa toute nouvelle version 4.
Mais alors, comment Google Analytics 4 protège-t-il mieux les données personnelles des internautes européens ?
Pour comprendre cela, il faut d’abord reprendre ce qui cause problème avec Google Analytics Universal.
L’un de ces problèmes est un des moyens de protection des données personnelles : l’anonymisation des données personnelles.
Google Analytics et CNIL : L’anonymisation des données personnelles
L’anonymisation des données personnelles est un processus pour détruire complètement le lien entre la personne et la donnée dans le but d’obtenir une donnée qui ne peut pas être utilisée pour retrouver la personne dont elle provient.
Il faut aussi noter que le seul fait d’utiliser des identifiants uniques peut permettre d’identifier une personne, l’anonymisation demande donc bien plus de travail pour protéger les personnes que la solution de la pseudonymisation.
L’anonymisation est un des meilleurs moyens afin de protéger des données personnelles car il retire pour de bon le statut de données « personnelles » en sachant que la donnée ne peut être rattachée à la personne.
Dans le cas de l’ancienne version de Google Analytics, Google Analytics Universal, il y avait une absence d’anonymisation sur certains transferts de données, incluant un problème du fait qu’on ne pouvait savoir si la donnée avait été anonymisée avant son transfert aux Etats-Unis et donc pouvait être retrouvée par les autorités si elles le désiraient.
De plus, les garanties additionnelles ne suffisaient pas pour compenser cette absence de garantie de protection.
Prenons l’exemple du chiffrement, il n’était pas garanti avant le transfert des données, ou encore l’exemple de la pseudonymisation qui est un moyen de protection des données personnelles inefficace du fait qu’il permet encore par différentes méthodes de rattacher la donnée à la personne physique.
Le chiffrement n’étant pas sous le contrôle de l’exportateur, il est difficile d’avoir un transfert de données et d’avoir mis en place ce chiffrement et les garanties de protection des données personnelles que l’Union européenne requiert avant ce transfert.
Des mesures insuffisantes
Les données collectées par Google Analytics fonctionnaient de concert avec les autres services Google dont Google Ads.
Celui-ci permettait, en utilisant les données obtenues par Google Analytics, d’identifier plus facilement les personnes dont les données personnelles ont été collectées dans les deux services.
On pouvait retrouver les personnes en utilisant les données de navigation que Google Ads récupère par le biais d’un recoupement des adresses IP des utilisateurs des deux outils et des historiques de navigation.
Il y a d’autres façons de protéger les personnes dans l’utilisation de Google Analytics.
Celles-ci peuvent être insuffisantes comme le chiffrement, une méthode de protection qui n’est pas assez efficace pour protéger les personnes, du fait que Google lui-même doit fournir les clés de chiffrement pour rendre les données intelligibles.
Google possède donc les clefs et les données, il doit les chiffrer lui-même et a l’obligation de les fournir aux autorités américaines, le chiffrement protège, mais n’est pas une garantie suffisante de protection.
De plus, la base légale des traitements de données de Google Analytics, le consentement ou la nécessité d’exécution, ne suffit pas ici pour justifier le traitement de données.
En effet, les traitements de données sont systématiques, de ce fait, ils ne peuvent se justifier seulement de la base légale du consentement de l’utilisateur pour envoyer des données provenant d’un pays Union Européenne vers un pays tiers qui ne remplit pas les garanties nécessaires de protections des données personnelles selon les lignes directrices du Comité européen de la protection des données sur ces dérogations.
Autrement, il faut considérer que les seules garanties, ou obligations contractuelles, ne suffisent pas à garantir la protection des données.
Cela signifie qu’il est nécessaire pour les personnes utilisant les outils de vérifier par eux-mêmes que les pays où les données se dirigent ont bien suffisamment de protections et de garanties pour les données personnelles, comme l’utilisation des services ZIWIT d’audit RGPD.
Google Analytics et CNIL : La réponse de Google Analytics
Le but de Google Analytics 4 est donc de fixer certains de ces problèmes et pour ce faire, l’outil de mesure d’audience a réduit de façon drastique la portée de ces sources d’information.
L’utilisation de cookies tiers pour récupérer des données n’est plus une option dans Google Analytics 4, ce qui limite grandement la portée de récupération de données.
Les points de focalisation des données de Google Analytics étaient sur les accès aux différentes pages suivies par les utilisateurs, mais aujourd’hui ces points sont seulement sur les événements qui peuvent surgir, ce qui réduit encore la portée de récupération des données.
Universal Analytics avait donc un système qui fonctionnait et qui était basé sur les sessions et les pages vues ce qui inclut :
- Les événements
- Le nombre de vues sur une page
- Le E-Commerce (Achats faits par les personnes en lien avec les produits ou services proposés)
- Les moments de flux de personnes (Moments de changement du flux, horaires d’augmentation du flux)
- Les interactions sociales (réseaux sociaux)
- Les exceptions du comportement des utilisateurs
- Les écrans
Google Analytics 4 se base, quant à lui, seulement sur les utilisateurs et les événements, réduisant les champs de collecte de façon drastique.
Mais l’élément le plus important qui permet de déterminer si Google Analytics 4 est conforme face au RGPD, est la garantie par l’anonymisation des IP d’où proviennent les données personnelles.
En anonymisant les adresses IP avant leur arrivée en pays tiers (aux États-Unis ici), et en réduisant la portée des données récupérée, Google Analytics 4 permet de protéger les données personnelles de façon plus complète.
En effet, les adresses IP sont considérées comme étant des données personnelles selon la CNIL, cette mesure rassure donc celle-ci car, bien que le maximum n’ait pas été fait par Google pour les protéger comme l’absence de création de serveur de proxy dans l’Union Européenne, l’anonymisation des adresses IP dès le départ reste un très bon pas en avant pour la protection des données personnelles.
Des options alternatives de protection des données personnelles
Pour Google Analytics 4, il y avait d’autres moyens de protections des données personnelles.
Parmi les solutions proposées par la CNIL, l’idée d’un serveur proxy n’a pas été engagée pour garder les données dans l’Union, et donc assurer leur contrôle et leur respect de la protection des données personnelles sur le territoire européen.
Avec un serveur de proxy dans l’Union, l’anonymisation, le chiffrement et la protection auraient tous pu être effectués sur le sol européen et aurait été une garantie de protection.
À cela, il faut ajouter que le chiffrement, cette mesure insuffisante de protection des données, devient en réalité très efficace si celle-ci est sous le contrôle de l’exportateur de ces données.
L’exportateur étant dans l’Union, il est soumis aux règlementations européennes et doit donc garantir des protections, il limite l’accès aux données personnelles par les sociétés dans les pays tiers en conservant les clefs de chiffrement, ce qui assure une garantie efficace de protection des données personnelles.
Si vous voulez mesurer votre audience, il n’est pas obligatoire d’utiliser la solution Google Analytics.
D’autres concurrents directs de Google assurent des protections beaucoup plus complètes dans ce cadre du fait de leur localisation en Union Européenne ou de leur plus grand respect du RGPD.
Dans ce cadre, les concurrents sont soit en Union Européenne comme Matomo et Swatis, ou, soit font partie de la liste de la CNIL qui offre différentes options d’outils de mesure d’audience qui ne requiert pas le recueil du consentement pour son utilisation.
Cela signifie qu’il faut tout de même garder un œil ouvert sur les réglages que ces concurrents de Google Analytics peuvent avoir, car il est tout à fait possible que certains réglages rendent ces outils non conformes au RGPD si on les utilise sur la base de ne pas requérir le consentement des utilisateurs.
Google Analytics Universal va être remplacé le 1er juillet par Google Analytics 4 en raison des condamnations de la CNIL sur les dangers et le manque de protection pour les données personnelles du transfert de données personnelles vers les Etats-Unis.
Cette décision, qui reste encore dans la vague des arrêts SHREMS, des arrêts ayant remis en question les garanties de protection des données personnelles des Etats-Unis, ont provoqué, sur tous les transferts de données personnelles vers des pays en dehors de l’Union, une remise en question des protections des données personnelles Européenne et en particulier pour les Etats Unis, dont l’un des plus grands acteurs en Europe est Google.
Malgré ces condamnations, Google Analytics a pu, en limitant la portée des données collectées et en insérant l’anonymisation des IP à la source, permettre de rendre l’outil utilisable après collecte de consentement ou sans nécessiter le recueil de consentement selon les paramètres inclut tout en respectant le RGPD.
On pourra toujours regretter l’absence de certaines options qui aurait pu vraiment contribuer à la protection des données, mais on peut comprendre les choix économiques derrière ces décisions.
Autrement, il est possible de considérer des concurrents de Google, si ce n’est que pour avoir une protection accrue pour les données personnelles ou peut-être encore pour faciliter cette protection par l’utilisation de serveurs positionnés en France qui seraient soumis au RGPD.