Analytics - Cnil-utilisation-google-analytics

Accueil

>

Analytics

>

La CNIL déclare l’utilisation de Google Analytics illégale

La CNIL déclare l’utilisation de Google Analytics illégale

Article invité
L’utilisation de la solution Analytics de Google devient de plus en plus problématique. La récente décision de la CNIL vient rappeler que Google Analytics et le RGPD ne font pas forcément bon ménage ! Dans cet article invité, Jean-Christophe Jacquet, co-fondateur de la société DataSense et responsable du développement de la solution de mesure d’audience AFS Analytics nous partage son analyse de la situation.

Suite à la décision de la Cour de Justice européenne du 20 juillet 2020 invalidant le « Privacy Shield » et au dépôt de plaintes de l’association NOYB ciblant plusieurs sites Français utilisant Google Analytics, la CNIL, après enquête, a déclaré que l’utilisation de Google Analytics par les gestionnaires de sites violait l’article 44 et suivants du RGPD relatif aux transferts de données hors union européenne.

Il en découle que plus de huit sites Français sur dix se trouvent en infraction avec le règlement général sur la protection des données, et se voient donc exposés à des sanctions pouvant atteindre 20 millions d’euros et aller jusqu’à 5 ans d’emprisonnement. (Article 226-21 du code pénal).

Quelles raisons ont abouti à cette décision ? Quelles sont les conséquences pour les gestionnaires de sites ? Quelles solutions à adopter pour être en conformité avec le RGPD?

Tout commence avec le « privacy shield », une garantie bancale

Le « privacy shield », ou bouclier de vie privée, est une garantie donnée par les États-Unis à l’Europe afin d’assurer la protection des données personnelles des citoyens européens sur son sol. Cette assurance validée par l’Union Européenne a permis aux États-Unis d’être considérés comme un état sûr en matière de protection des données personnelles et conforme aux articles du RGPD régissant leur hébergement hors Union Européenne.

Quand Maximilian Schlems via son association NOYB conteste la garantie

Maximilien Schrems, trentenaire aux faux airs de Tintin, est devenu en quelques années le cauchemar des grands groupes numériques. À une vingtaine d’années, indigné par l’emplacement de caméras de surveillance pouvant entraîner des violations à la vie privée, il attaque l’entreprise responsable et obtient la condamnation de ses dirigeants. En 2011, apprenant que Facebook conserve les données effacées par les utilisateurs, il dépose de nombreuses plaintes auprès de la CNIL Irlandaise.

En 2013, suite aux révélations d’Edward Snowden, il intensifie sa croisade et porte plainte contre les GAFA, les accusant de fournir des données personnelles aux agences de renseignement américaines. Cette plainte aboutira en 2015 à l’invalidation par la Cour de Justice de l’Union Européenne du « Safe Harbor », accord encadrant le transfert des données personnelles entre l’Europe et les Etats-Unis.

À l’occasion du RGPD, un nouvel accord est conclu entre l’Europe et les Etats-Unis censés pallier les défauts du « Safe Harbor » : le « Privacy Shield ». Pour la seconde fois Maximilian Schrems dépose, via son association NOYB, une plainte auprès de la CJUE. Il argue alors que le « Privacy Shield » ne garantit pas la protection des données personnelles puisque l’article 702 du Foreign Intelligence Surveillance Act (FISA) oblige les entreprises américaines à fournir toutes les données personnelles en leur possession aux agences de renseignements, et ce sans aucune surveillance judiciaire.

La Cour de Justice européenne invalide le « Privacy Shield »

Pour la seconde fois Maximilian Schrems remporte le combat. Le 20 Juillet 2020, La CJUE juge « le « Privacy Shield » non conforme à la législation européenne sur la protection des données, rendant les transferts de données personnelles vers les États-Unis illégaux. L’arrêt sera nommé « Schrems II »

Cette décision entraîne l’exclusion des sociétés Américaines des prestataires de confiance pouvant garantir la sécurisation des données personnelles des citoyens européens. En conséquence, l’hébergement de données aux États-Unis contrevient à l’article 44 du RGPD.

Maximilian Schrems dépose 101 plaintes à l’encontre de 101 responsables de sites utilisant Google Analytics

L’invalidation du « Privacy Shied » persuade Maximilian Schrems de déposer plainte contre 101 gestionnaires de sites internet situés dans 27 États membres de l’Union Européenne. Il reproche entre autres à ces sites l’utilisation de Google Analytics qui entraîne de facto un transfert illégal de données vers les États-Unis, puisque sur tous les sites utilisant Google Analytics, un code JavaScript envoie à chaque consultation par un internaute, des données le concernant aux serveurs de Google situés aux États-Unis.

Chaque plainte est adressée à l’agence de protection des données dont dépend la localisation du site. La CNIL, autorité française de protection des données en reçoit 6, visant les sociétés Auchan, Décathlon, Free, Leroy Merlin, le Huffington Post et Sephora. Une plainte concernant un site de l’union européenne utilisant Google Analytics est également envoyée au contrôleur européen de la protection des données à Bruxelles.

Le Contrôleur Européen de la Protection des Données juge illégal le transfert de données via Google Analytics

Wojciech Wiewiórowski, Polonais, la cinquantaine, a été nommé contrôleur européen de la protection des données (CEPD) par le parlement et conseil européen le 5 décembre 2019 pour une durée de cinq ans. Avant cette nomination, Monsieur Wiewiórowski a exercé comme commissaire à l’autorité polonaise chargée de la protection des données de 2010 à 2014, puis a rejoint en décembre 2015 le CEPD comme contrôleur adjoint.

Le rôle du CEPD est de surveiller et d’assurer la protection des données personnelles et de la vie privée lorsque les institutions de l’UE traitent les informations personnelles des individus.  Il conseille les organes de l’UE sur toutes les questions relatives au traitement des données à caractère personnel et coopère régulièrement avec les autorités nationales de protection des données personnelles afin d’améliorer la cohérence entre les diverses législations.

À ce titre Wojciech Wiewiórowski, destinataire de la plainte concernant le site de l’UE utilisant Google Analytics décide d’entamer des investigations. Le 5 janvier 2022, après enquête, le Contrôleur Européen de la Protection des Données (CEPD) demande au parlement européen de retirer Google Analytics du site en question pour violation du RGPD suite au transfert des données aux États-Unis. À cette occasion, il demande aux agences de protection des données personnelles de chaque pays européen de statuer sur la violation de la RGPD par les gestionnaires des sites lors de l’utilisation de Google Analytics.

L’autorité de la protection autrichienne confirme la violation du RGPD par les gestionnaires de site utilisant Google Analytics

Le 13 Janvier, l’autorité Autrichienne de protection des données décide que l’utilisation de Google Analytics viole le règlement général sur la protection des données (RGPD).  Google ayant admis que toutes les données collectées via Google Analytics sont traitées et hébergées aux États-Unis incluant celles des résidents européens. L’autorité Autrichienne de protection des données juge que ce comportement constitue une violation du droit de l’UE.

La CNIL déclare que l’utilisation de Google Analytics viole le RGPD

À son tour, le 10 Février 2022, la commission nationale Française de l’informatique et des libertés confirme la violation du RGPD par les gestionnaires de sites utilisant de Google Analytics.  La CNIL précise que sa décision a été prise en coopération avec ses homologues européens suite à l’invalidation du « Pivacy shield »  par la CJUE :  « l’arrêt Schrems2  du 16 Juillet 2020 ».

Elle conclut que les transferts de données vers les États-Unis via Google Analytics ne sont pas suffisamment encadrés et que leur confidentialité n’est pas garantie. Elle s’appuie ici sur l’obligation qu’a Google de transmettre ces données aux services de renseignements américains. Le risque étant avéré, La CNIL constate que le transfert des données des internautes vers les États-Unis via Google Analytics est une violation des articles 44 et suivants du RGPD.

Pour ceux qui s’interrogent sur le caractère personnel des données transmises via Google Analytics,  la réponse donnée par la CNIL après interrogation de Google est sans équivoque. Les données transmises à Google via Analytics sont :

  • Un identifiant unique du visiteur c’est-à-dire le « client ID » Google Analytics .
  • Pour les visiteurs s’étant authentifiés au site web à travers un compte utilisateur, un identifiant interne.
  • Les adresses IP.

La CNIL précise que la société Google qualifie elle-même les adresses IP comme données personnelles, c’est-à-dire  que de toute évidence celles-ci ne sont pas rendues anonymes lors du transfert vers les États-Unis et de leur stockage sur les serveurs de Google. La CNIL conclut :

«Le recoupement de tous ces éléments peut permettre d’individualiser les visiteurs du site internet sur lequel Google Analytics est installé. Il n’est pas nécessaire de connaître le nom ou l’adresse postale du visiteur puisque, conformément au considérant 26 du RGPD, une telle individualisation des personnes peut être suffisante pour les rendre identifiables.»
agence-seo
Découvrez les agences web les mieux notées selon leur domaine
Sites vitrines
Sites ecommerce
Applications mobiles
SEO
Publicité en ligne
Réseaux sociaux

Qui est responsable de la violation de la RGPD ?

Mettons tout de suite les choses au clair, le responsable de l’infraction au RGPD n’est pas la société Google mais le gestionnaire du site qui utilise Google Analytics. Il est de sa responsabilité d’utiliser tous les moyens nécessaires afin de respecter le RGPD.

Chaque internaute constatant que ses droits ont été violés suite à l’utilisation de Google Analytics peut exiger son retrait auprès du responsable de la protection des données du site afin de les faire respecter.  Le gestionnaire du site dispose d’un délai d’un mois pour répondre à la demande. Passé ce délai, ou en cas de réponse négative, l’internaute dispose de deux types de recours : un recours auprès de la CNIL, ou un recours juridictionnel.  Les deux recours RGPD peuvent être exercés ensemble selon les articles 77 à 79 du RGPD.

Quelles sont les amendes prévues pour la violation du RGPD

L’utilisation de Google Analytics entraîne la violation des articles 44 et suivant du RGPD exposant le gestionnaire du site à des amendes pouvant atteindre 20 millions d’euros ou 4% de son chiffre d’affaires. L’internaute dont les droits ont été violés peut demander des indemnités en réparation du préjudice subi selon l’article 82 du RGPD. Le gestionnaire du site peut être également poursuivi pénalement et encourir une condamnation à 5 ans d’emprisonnement et 300 000 euros d’amende (article 226-21 du code pénal).

Le 20 Février 2022, la CNIL a envoyé les premières mises en demeure aux sites Français

La CNIL a envoyé les premières mises en demeure aux sociétés Françaises visées par les plaintes de Maximilian Schrems.  Elle leur demande de se mettre en conformité avec le RGPD en cessant d’avoir recours à la fonctionnalité Google Analytics dans les conditions actuelles, ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Les sociétés mises en cause disposent d’un délai d’un mois pour se mettre en conformité.

Est-il possible d’utiliser Google Analytics tout en étant en conformité avec le RGPD ?

La réponse est négative. Tant que les données collectées pas Google Analytics sont transférées aux États-Unis, son utilisation entraînera une violation du RGPD. A l’heure actuelle, Il n’est pas possible de paramétrer Google Analytics pour éviter les transferts des données vers les États-Unis.  Google pourrait proposer une option permettant l’anonymisation réelles des données avant leur transfert hors UE, mais dans ce cas il serait dans l’impossibilité de fournir la plupart des analyses qu’il propose.

Trouver une solution alternative pour respecter le RGPD

Le constat est sans appel, si vous souhaitez rester dans la légalité, la seule option disponible est de remplacer Google Analytics par une solution comparable proposant l’hébergement des données sur des serveurs Européens.  Si votre souhait est de continuer avec Google Analytics, alors l’implémentation d’une solution alternative vous assurera la continuité de l’analyse du trafic dans le cas où vous seriez dans l’obligation de retirer Google Analytics.

AFS Analytics, une alternative Française à Google Analytics

AFS Analytics est une solution de mesure d’audience Française qui offre une véritable alternative française à Google Analytics. AFS Analytics propose non seulement les principales fonctionnalités offertes par Google Analytics, mais également  un grand nombre d’autres,  exclusives, comme la surveillance de la position des mots-clés dans les moteurs de recherche, la reconnaissance par IA des recherches effectuées par les internautes et la visualisation de cartes thermiques (heatmaps).

  • Solution orientée E-Commerce, de nombreuses métriques et analyses sont dédiées aux boutiques en ligne incluant une diversité de KPIs.
  • Les données transmises par les sites utilisant AFS Analytics sont sauvegardées sur des serveurs Français.
  • L’installation est simplifiée et rapide grâce un plugin développé pour chaque plate-forme : WordPress, WooCommerce, Prestashop et Shopify.

https://www.afsanalytics.com/fr/AFS Analytics