News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

Google Analytics et RGPD : doit-on se passer de Google Analytics ?

Va-t-on devoir se passer de Google Analytics sur le sol européen ? Les autorités de contrôle de la conformité au RGPD ont inquiété les DPO et surtout les responsables marketing en invalidant l’utilisation de l’outil américain, d’abord en Autriche en janvier, puis en France en février 2022.  Or Google Analytics...
rgpd-google-analytics

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Va-t-on devoir se passer de Google Analytics sur le sol européen ? Les autorités de contrôle de la conformité au RGPD ont inquiété les DPO et surtout les responsables marketing en invalidant l’utilisation de l’outil américain, d’abord en Autriche en janvier, puis en France en février 2022. 


Or Google Analytics est un outil d’analyse de trafic qui serait utilisé par 80% des sites web. Autant dire que les conséquences des décisions de la CNIL et de ses homologues peuvent être particulièrement importantes. 


Dans ce contexte, nous revenons sur les tenants et aboutissants de ces affaires. Qu’est-il reproché à Google Analytics au regard du RGPD ? Quel est le contexte de ces décisions ? Et surtout, quelles sont les conséquences sur les entreprises européennes et comment se mettre en conformité ? 


rgpd google analytics

Les décisions des autorités de contrôle du RGPD sur Google Analytics


L’histoire de la relation tendue entre le RGPD et Google Analytics se raconte en plusieurs chapitres. 


Chapitre 1 : la Cour de Justice de l’Union Européenne (CJUE) rend un arrêt dit “Schrems II” le 16 juillet 2020. Dans cette décision, la cour invalide le “Privacy Shield”. Ce dernier est un accord entre l’UE et les Etats-Unis entré en vigueur en 2016 et qui encadre le transfert des données personnelles depuis une entité européenne vers une entité américaine. La Commission européenne avait reconnu cet outil comme “adéquat”, c’est-à-dire offrant un niveau de protection suffisant aux données personnelles des citoyens européens, bref comme conforme au RGPD. 


Or un point est mis en avant par la CJUE pour invalider le Privacy Shield : il s’agit de la possibilité donnée aux services de renseignement américains de consulter les données concernées (sous condition). 


Résultat : le Privacy Shield est invalidé. 


Chapitre 2 : en janvier 2022, l’homologue autrichien de la CNIL déclare que Google Analytics n’est pas conforme au RGPD. En fait, c’est justement parce que Google Analytics s’appuyait sur le Privacy Shield pour justifier le transfert de données collectées en Europe vers les Etats-Unis pour analyse. 


Chapitre 3 : en février 2022, la CNIL prend le même type de décision. Plus précisément, le transfert de données hors UE est très encadré par le RGPD. Il est nécessaire de reposer sur un système ayant été déclaré conforme par une décision d’adéquation, ce qui était donc le cas du Privacy Shield avant l’arrêt de la CJUE (chapitre 1). En l’absence d’un tel soutien juridique, un certain nombre de mesures supplémentaires doivent être mises en place. Concrètement, il s’agit d’ajouter des clauses strictes de protection des données dans les contrats encadrant leur transfert. La CNIL considère que les mesures supplémentaires adoptées par Google sont insuffisantes : elles ne permettent pas d’exclure la possibilité d’un accès aux informations personnelles par les services de renseignement américains. 

En conséquence, la CNIL a mis en demeure plusieurs éditeurs de sites internet de cesser d’utiliser Google Analytics pour analyser les données de fréquentation de leurs sites. 


Quelles règles pour les transferts de données hors UE ? 


Le cas du RGPD et de Google Analytics pose la question plus large du transfert des données hors UE. Le texte prévoit un certain nombre d’outils permettant d’encadrer ce transfert et donc d’assurer sa mise en conformité avec le RGPD. 


Une décision d’adéquation de la Commission européenne


La Commission européenne peut décider que le niveau de protection assuré par un pays donné est suffisant pour garantir le respect des droits des résidents européens en cas de transfert de leurs informations. Dans ce cas, le transfert des données vers le pays concerné est possible. 


C’est précisément une telle décision d’adéquation qui a été invalidée avec le Privacy Shield par la CJUE, ce qui justifie les décisions des autorités de contrôle comme la CNIL sur la non-conformité de Google Analytics au RGPD. 


Des clauses contractuelles types de la Commission européenne


Concrètement, il s’agit d’un ensemble de clauses qui doivent être insérées dans les accords contractuels encadrant les opérations de transfert de données. Ces clauses sont adoptées par les autorités de contrôle comme la CNIL et validées par la Commission européenne. 


Dans le cas de Google, les conditions d’utilisation du service, qui ne sont en pratique pas négociables par une entreprise, ne contiennent pas ces fameuses clauses types. 


Un code de conduite approuvé 


Ce code de conduite est adopté par le destinataire de la donnée, c’est-à-dire le sous-traitant au sens du RGPD. Il doit contenir un certain nombre de clauses qui sont encadrés par le RGPD et les lignes directrices adoptées par le Comité européen à la protection des données, organe central de protection des données en Europe. 


Ces codes sont adoptés par branche ou secteur d’activité et approuvés par la CNIL ou par les autorités de contrôle compétentes. Enfin, leur respect est contrôlé par un organisme agréé par l’autorité de contrôle. 


A noter qu’il existe d’autres mécanismes plus spécifiques permettant d’opérer des transferts de données à l’international. Ceux-ci sont plus rares et nous ne les détaillons pas ici par souci de clarté. 


Google Analytics et RGPD : comment se mettre en conformité ? 


Doit-on tout simplement renoncer à utiliser Google Analytics pour être en conformité au RGPD sur son site web


Il faut noter deux éléments qui viennent nuancer cette idée. Premièrement, la CNIL n’a pour l’instant pas prononcé de sanctions pour des entreprises utilisant Google Analytics. Elle a pour le moment mis en demeure certains sites d’arrêter d’utiliser la solution, ce qui n’est pas tout à fait la même chose en termes de risque juridique, mais ne s’apparente pas non plus à une conformité avec le texte européen. 


Deuxièmement, Google évolue vers un respect plus important du RGPD dans ses fonctionnalités. A titre d’exemple, on peut citer la possibilité d’anonymiser les adresses IP dans GA 4. Néanmoins, à date et selon la CNIL, Google Analytics ne peut toujours pas être considéré comme suffisamment sérieux en termes de protection des données pour être autorisé. 


Enfin, il est avancé qu’une mise en conformité au RGPD est possible via un paramétrage avancé de Google Analytics pour contourner les différents problèmes soulevés par la CNIL. Par exemple prévoir le recueil des consentements des utilisateurs

Il peut donc être utile de se tourner vers une alternative… Parmi elles, l’outil Matomo se veut particulièrement protecteur des données analysées.