Google Analytics : la CNIL met en demeure un gestionnaire de site

La Commission Nationale de l’Informatique et des Libertés (CNIL) vient de rendre une décision qui pourrait remettre en cause l’utilisation de Google Analytics. Décryptage.

Nous sommes à l’ère du Big Data et du Data Analytics permettant d’utiliser les données de votre entreprise pour générer des actions durables. Pour autant, l’emploi de ces données est strictement réglementé comme l’illustre la décision qu’a rendu la CNIL au sujet de Google Analytics.

Pour rappel, ce dernier domine le marché des logiciels d’analyse web. Il était adopté par 65% des grands sites web français en 2016. Le chiffre a certainement augmenté depuis. Gratuit et accessible (même si sa dernière version, GA4, est loin de faire l’unanimité), il est devenu incontournable pour quiconque souhaite analyser l’audience de son site web.

65% des grands sites web français utilisaient Google Analytics en 2016
65% des grands sites web français utilisaient Google Analytics en 2016. Source : le Journal du Net

Cela pourrait bientôt changer.

Google Analytics considéré comme illégal par la CNIL

En effet, la CNIL a conclu que Google Analytics était illégal. Saisie par NOYB, une organisation à but non lucratif basée à Vienne, l’organisme français devait se prononcer sur le transfert de données personnelles collectées sur des sites web utilisant Google Analytics. Cette saisine s’inscrit dans le cadre d’une action plus vaste de cette association contre d’autres gestionnaires à l’échelle européenne. Pas moins de 101 recours ont été exercés. En France, Auchan, Sephora et Décathlon sont visés.


C’est ce transfert de données vers les serveurs de Google aux États-Unis qui a été jugé contraire au droit, plus précisément l’article 44 et suivants du Règlement Général de Protection des Données (RGPD).

Pourquoi ?

Parce que le niveau de protection des données est insuffisant au regard du RGPD. Est en cause la possibilité pour les services de renseignement américain d’accéder à ces données. La législation américaine (article 702 du Foreign Intelligence Surveillance Act ou FISA, Executive Order 12 333) autorise l’accès à ces données aux agences comme la National Security Agency (NSA). Or, cela n’offre pas un niveau suffisant de protection des données à caractère personnel selon Cour de justice de l’Union européenne (CJUE) dans un arrêt SCHREMS II. Ce dernier invalidait le Privacy Shield, cet accord conclu entre la Commission européenne et les États-Unis qui autorisait ce transfert.

Il y a donc un « risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».

Conclusion : la CNIL met en demeure le gestionnaire de respecter la réglementation européenne.

Qu’est-ce que cela signifie ?

La Commission indique deux possibilités :

  • ne plus utiliser Google Analytics « dans les conditions actuelles » ;
  • recourir à une fonctionnalité qui n’opère pas de transfert en-dehors du territoire de l’Union Européenne.

Le gestionnaire de site a un mois pour se mettre en conformité.

Quelles implications de cette décision de la CNIL pour les utilisatrices et utilisateurs de Google Analytics ?

À l’heure actuelle, le risque pour les gestionnaires de site utilisant Google Analytics est de recevoir une mise en demeure de la part de la CNIL. Comme le rappelle Vincent Lahaye, la CNIL ne délivre pas d’amende : si vous en recevez une, c’est une arnaque.

Pour autant la question de savoir s’il faut continuer à utiliser Google Analytics se pose. Plusieurs pistes sont à envisager :

Pour finir, j’ai installé Matomo sur le blog d’un rédacteur web. Il existe une extension gratuite que l’on peut installer sur un site WordPress. Pour autant, je n’ai pas désinstallé Google Analytics (pour le moment). J’attends de voir si les prochaines annonces de Google à ce sujet vont dans le sens du RGPD.

Affaire à suivre…

Laisser un commentaire