En début d’année, la CNIL a rendu un verdict plutôt inquiétant pour les professionnels du marketing numérique et les détenteurs de site internet en annonçant que l’usage de l’outils Google Analytics constituait des manquements au Règlement Général sur la Protection des Données : RGPD.
L’agence de marketing digital Netsulting vous en dit plus et vous donne quelques clés pour comprendre cette situation complexe.
Quelques rappels à propos de la CNIL et du RGPD
Qu’est-ce que la CNIL ?
La CNIL, Commission Nationale de l’Informatique et des Libertés est une autorité dont la mission principale est de veiller à la protection des données personnelles. Son but est de garantir un usage de l’informatique au service de l’Homme sans porter atteinte aux droits de l’Homme et à la vie privée, ainsi qu’à nos libertés.
A quoi sert le RGPD ?
Le RGPD, Règlement Général sur la Protection des Données, entré en vigueur depuis le 25 mai 2018, est un levier de la CNIL qui permet d’encadrer le traitement des données personnelles sur le territoire européen. Pour rappel, on considère qu’une donnée est personnelle dès lors qu’elle permet d’identifier une personne physique directement ou indirectement.
Google Analytics déclaré non-conforme par la CNIL
Depuis ce début d’année, le milieu du numérique est chamboulé par une nouvelle de mauvais augure pour les détenteurs de site internet ainsi que les agences de marketing digital telles que Netsulting. En janvier 2022, la CNIL autrichienne a déclaré Google Analytics, un service gratuit d’analyse d’audience de sites web et d’applications, comme non conforme au RGPD. Il n’aura fallu attendre qu’un petit mois pour que la CNIL française suive les traces de son homonyme autrichien.
Pour quelles raisons l’utilisation de Google Analytics a été déclarée illégale ?
La RGPD s’applique à toute entreprise traitant des données personnelles, dès lors que l’entreprise est installée sur le territoire de l’Union Européenne ou que celle-ci exerce une activité ciblant des résidents européens.
En l’occurrence, Google Analytics s’inscrit dans le deuxième cas de figure. Ce service d’analyse de l’audience du géant américain utilisé par un grand nombre de sites, transfert des données personnelles directement vers les États-Unis, pays dans lequel la législation n’est pas en accord avec le RGPD. Il est alors difficile de contrôler le devenir des données personnelles récoltées.
Pour l’autorité française, les transferts de données personnelles vers les Etats-Unis par Google ne sont pas suffisamment encadrés. La législation américaine permet aux autorités d’accéder aux données sans le consentement des intéressés, ce qui présente un risque pour les utilisateurs européens de voir leurs données exportées et utilisées à mauvais escient sans que ceux-ci n’aient un droit de regard.
Alors comment Google Analytics passait jusqu’alors entre les mailles du filet du RGPD ? Entre 2015 et 2016, un accord nommé « Privacy Shield » ou bouclier de protection des données entre l’Union Européenne et les États-Unis avait été négocié entre ces deux entités. Cet accord se compose d’une série d’engagements de la part du gouvernement américain afin d’offrir une protection des données personnelles qui était jusqu’alors considérée comme adéquate par la commission Européenne. Cependant, en juillet 2020, cet accord a été invalidé par la Cour de justice de l’Union Européenne.
À cela s’ajoute l’émission d’un lot de plainte par l’association NOYB, une organisation de protection de la vie privée, reçues par la CNIL. C’est à la suite de ces évènements et de ses observations sur les sites concernés que la CNIL française en vient, le 10 février 2022, à estimer à son tour insuffisantes les garanties encadrant les transferts de données personnelles des utilisateurs européens vers les États-Unis, condamnant ainsi Google Analytics.
Quels sont les risques encourus si vous utilisez Google Analytics ?
Bien que la liste des sites visés par une non-conformité n’ait pas été dévoilée par la CNIL, selon les documents de l’organisation NOYB, on compte de grands acteurs français parmi eux. Ainsi, les sites concernés par les différentes plaintes de NOYB ont reçu une mise en demeure et bénéficient d’un mois pour se mettre en conformité.
Si vous utilisez Google Analytics actuellement, vous n’êtes donc pas à l’abri de vous retrouver dans la même situation.
Que faire si vous êtes un utilisateur de Google Analytics ?
Trouver des alternatives à Google Analytics ?
En attendant une mise à jour ou une mise en conformité de l’outil, il est nécessaire de chercher des alternatives. Solution la plus utilisée, Google Analytics n’est cependant pas le seul outil présent sur le marché. Très attrayant grâce à son lot de fonctionnalités assez complètes et à sa gratuité, vous pouvez tout même trouver d’autres outils intéressants tels que Matomo ou AT Internet. Ces outils sont d’ailleurs tirés de la liste officielle de solutions de mesure d’audience communiquée par la CNIL. Cette liste contient toutes les solutions pouvant être configurées de façon à respecter la règlementation européenne en matière de protection de données personnelles.
Vérifier votre configuration pour minimiser la récolte de données
Le RGPD étant un règlement complexe, cette solution peut s’avérer délicate. La limite entre les données à caractère personnel que vous êtes autorisés à récolter via Google Analytics et celle que vous n’êtes pas autorisé à récolter reste assez floue. Vous pouvez donc vérifier votre configuration sur l’outil de récolte de données afin de minimiser la récolte de données superflues et ainsi suivre le principe de minimisation de la CNIL.
Soyez transparents avec les internautes vis-à-vis de leurs données
De manière générale, dès lors qu’un site internet est créé, il est obligatoire selon le RGPD d’y implanter une page de politique de confidentialité des données personnelles. Celle-ci permet de renseigner, par exemple, les différents outils utilisés pour collecter les données des utilisateurs ainsi que la nature des données collectées. De plus, en choisissant d’être totalement transparent avec les internautes vous aurez plus de chances d’éviter les représailles.
En attendant de nouvelles informations de la part de Google ou de la CNIL, vous en savez désormais un peu plus sur l’état actuel de la situation quant à la gestion des données personnelles par Google Analytics, sa conformité au RGPD et votre rôle à jouer dans tout cela.