La CNIL vient de communiquer sur une FAQ dans lequel elle donne plus d’explications sur sa position concernant Google Analytics.
Vous trouverez cette page à cette adresse :
Visiblement, l’objet de cette page est de répondre à certains questionnements ou critiques qui sont apparues çà et là depuis l’annonce de la mise en demeure adressée à un acteur du net le 10 février dernier.
La CNIL persiste et signe
La Commission confirme son interprétation. Selon la CNIL :
- les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ;
- les données d’internautes européens sont donc transférées illégalement par le biais de cet outil.
Donc Google Analytics ne peut pas être utilisé en France, puisque la législation européenne sur la protection des données personnelles ne serait pas respectée.
Ce qui ne permet pas de rendre l’usage de GA légal
La CNIL précise par ailleurs que plusieurs mesures que certains pensent suffisantes pour rendre GA légal, sont en réalité inopérantes.
- La déclaration conjointe de la Commission européenne et des États-Unis en mars 2022 concernant une future décision visant à encadrer de manière satisfaisante les flux de données vers les États-Unis « n’est à ce stade qu’une annonce politique. […] Cette déclaration ne constitue pas un cadre juridique sur lequel les organismes peuvent s’appuyer pour transférer les données vers les États-Unis ». Nous avions évoqué le sujet dans cette vidéo :
- le fait d’utiliser les clauses recommandées par l’Union Européenne (un comble) ne permet pas de contourner le problème. La CNIL considère que la protection juridique apportée par ces clauses sont insuffisantes !
- la CNIL considère que l’anonymisation des données est insuffisante pour garantir une protection des données efficace, notamment en raison du croisement possible des données recueillies dans le cadre des différents services de Google… mais aussi parce qu’elle ne peut pas s’appliquer à tous les transferts.
- le chiffrement par Google ne fournit pas non plus des garanties suffisantes. Cela passerait si les données étaient chiffrées par (par exemple) le propriétaire européen d’un site, à certaines conditions. Mais dans la pratique, techniquement, c’est infaisable.
- s’agissant d’un transfert systématique, même en recueillant le consentement des utilisateurs, on ne pourra pas dans la pratique obtenir de façon pérenne une dérogation pour ces transferts de données vers les USA
Utiliser un serveur proxy peut permettre de rendre l’usage de GA légal
Notons qu’au passage, la CNIL concède qu’il y’a une solution technique permettant de continuer à utiliser Google Analytics en toute légalité.
La solution passe par l’envoi des données de tracking à un serveur contrôlé par le propriétaire du site. Ces données peuvent être tranquillement prétraitées et anonymisées, afin que les données transférées à Google ne soient plus considérées comme des données personnelles. Ce qui élimine les problèmes de transfert de données personnelles aux USA
Cependant, une solution permettant d’impliquer un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure peut être envisageable. Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021.
CNIL
Pour en savoir plus sur les critères ils sont détaillés ici :
Cette solution n’est pas aussi complexe que ne le dit la CNIL, mais demande à date de développer des outils spécifiques, dans l’attente que des services de ce type apparaissent. C’est donc réservé à un nombre limité d’éditeur de sites.
Que faire dans la pratique ?
Le vide juridique qui empêche les transferts de données vers les USA dans un cadre considéré comme légal va perdurer pendant des mois.
La CNIL insiste et explique que seule la proxyfication permettrait d’utiliser légalement GA dans l’intervalle. Vu la complexité et le coût de la solution, cela ne peut pas être une bonne solution d’attente pour la grande majorité des sites.
La vraie solution c’est de basculer rapidement vers des outils qui ne posent pas les mêmes problèmes, et dont la liste figure ici :
Liste d’outils de mesure d’audience pouvant être exemptés de consentement