La Commission Nationale de l’Informatique et des Libertés (CNIL) vient de rendre une décision qui pourrait remettre en cause l’utilisation de Google Analytics. Décryptage.
Nous sommes à l’ère du Big Data et du Data Analytics permettant d’utiliser les données de votre entreprise pour générer des actions durables. Pour autant, l’emploi de ces données est strictement réglementé comme l’illustre la décision qu’a rendu la CNIL au sujet de Google Analytics.
Pour rappel, ce dernier domine le marché des logiciels d’analyse web. Il était adopté par 65% des grands sites web français en 2016. Le chiffre a certainement augmenté depuis. Gratuit et accessible (même si sa dernière version, GA4, est loin de faire l’unanimité), il est devenu incontournable pour quiconque souhaite analyser l’audience de son site web.
Cela pourrait bientôt changer.
Google Analytics considéré comme illégal par la CNIL
En effet, la CNIL a conclu que Google Analytics était illégal. Saisie par NOYB, une organisation à but non lucratif basée à Vienne, l’organisme français devait se prononcer sur le transfert de données personnelles collectées sur des sites web utilisant Google Analytics. Cette saisine s’inscrit dans le cadre d’une action plus vaste de cette association contre d’autres gestionnaires à l’échelle européenne. Pas moins de 101 recours ont été exercés. En France, Auchan, Sephora et Décathlon sont visés.
C’est ce transfert de données vers les serveurs de Google aux États-Unis qui a été jugé contraire au droit, plus précisément l’article 44 et suivants du Règlement Général de Protection des Données (RGPD).
Pourquoi ?
Parce que le niveau de protection des données est insuffisant au regard du RGPD. Est en cause la possibilité pour les services de renseignement américain d’accéder à ces données. La législation américaine (article 702 du Foreign Intelligence Surveillance Act ou FISA, Executive Order 12 333) autorise l’accès à ces données aux agences comme la National Security Agency (NSA). Or, cela n’offre pas un niveau suffisant de protection des données à caractère personnel selon Cour de justice de l’Union européenne (CJUE) dans un arrêt SCHREMS II. Ce dernier invalidait le Privacy Shield, cet accord conclu entre la Commission européenne et les États-Unis qui autorisait ce transfert.
Il y a donc un « risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».
Conclusion : la CNIL met en demeure le gestionnaire de respecter la réglementation européenne.
Qu’est-ce que cela signifie ?
La Commission indique deux possibilités :
- ne plus utiliser Google Analytics « dans les conditions actuelles » ;
- recourir à une fonctionnalité qui n’opère pas de transfert en-dehors du territoire de l’Union Européenne.
Le gestionnaire de site a un mois pour se mettre en conformité.
Quelles implications de cette décision de la CNIL pour les utilisatrices et utilisateurs de Google Analytics ?
À l’heure actuelle, le risque pour les gestionnaires de site utilisant Google Analytics est de recevoir une mise en demeure de la part de la CNIL. Comme le rappelle Vincent Lahaye, la CNIL ne délivre pas d’amende : si vous en recevez une, c’est une arnaque.
Pour autant la question de savoir s’il faut continuer à utiliser Google Analytics se pose. Plusieurs pistes sont à envisager :
- selon le même Vincent Lahaye dans une intervention au SEO Camp du 11 février 2022, il est possible d’utiliser Google Analytics sans transfert de données. Cette procédure qui semble complexe gagnerait à être connue ;
- comme l’indique Olivier Andrieu, Google a probablement une solution dans les cartons. L’entreprise s’est d’ailleurs récemment exprimée sur la question des transferts de données internationaux dans Google Analytics. La firme de Mountain View a annoncé « ajouter des paramètres » pour permettre à leurs clients de « profiter de Google Analytics tout en atteignant leurs objectifs de conformité » ;
- il convient d’envisager des solutions alternatives qui sont restées pendant longtemps dans l’ombre du géant Google Analytics. La décision de la CNIL va peut-être changer la donne car il existe des logiciels qui sont conformes au RGPD. On peut citer Matomo, At Internet Analytics, Plausible Analytics, Fathom, Eulerian, Statshop… La CNIL a dressé une liste de ces solutions.
Pour finir, j’ai installé Matomo sur le blog d’un rédacteur web. Il existe une extension gratuite que l’on peut installer sur un site WordPress. Pour autant, je n’ai pas désinstallé Google Analytics (pour le moment). J’attends de voir si les prochaines annonces de Google à ce sujet vont dans le sens du RGPD.
Affaire à suivre…
