L’utilisation de Google Analytics est-elle remise en question en France et même en Europe ?

En communication digitale et en webmarketing nous utilisons tous allègrement les outils de mesure d’audience pour mieux comprendre les besoins et le cheminement des utilisateurs et adapter nos produits/projets à leurs attentes. Pourtant la Commission Nationale Informatique et Liberté nous rappelle à l’ordre et ferme presque toutes les portes à l’utilisation de Google Analytics en France.

Pourquoi ?

La CNIL a déjà mis en demeure plusieurs organismes en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens. En effet, lors d’une session de questions-réponses publiée le 7 juin sur son site, la CNIL a demandé s’il était possible de paramétrer l’outil Google pour éviter le transfert de données personnelles en dehors de l'Union Européenne. La réponse est non. L’ensemble des données collectées par le biais de Google Analytics est hébergé aux Etats-Unis. Or aux Etats-Unis les autorités judiciaires peuvent contraindre les entreprises à divulguer des informations sur ses utilisateurs.

 La décision de la CNIL vient corroborer la conclusion de l’autorité de la protection des données autrichienne rendue en janvier qui stipule que le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d'accès aux données. 

Quelles sont Les propositions de Google ?

L’entreprise Google a tenté d’apporter des solutions en proposant notamment l’ "anonymisation" des adresses IP plus protectrice que la « pseudonymisation ». Malheureusement ce principe n’est pas applicable à tous les transferts. Les éléments fournis par Google ne permettent pas de vérifier si l’"anonymisation" est réellement effectuée avant la transmission aux États-Unis. De plus l’utilisation d’identifiants uniques facilite le suivi précis des utilisateurs y compris sur des appareils distincts.

Le chiffrement de données réalisé par Google aurait également pu être une garantie supplémentaire. Mais la mesure s’avère insuffisante car l’organisme est également soumis aux demandes des autorités états-uniennes qui doivent pouvoir accéder aux données personnelles en clair.

Quelles sont les solutions alternatives ?

Les entreprises françaises peuvent utiliser des outils de mesure d’audience conformes aux législations européennes dans le domaine de la protection des données et aux recommandations des CNIL européennes en matière de surveillance. Maël Richard dans un article publié dans Leptidigital propose des alternatives intéressantes comme Matamo, Fathom Analytics, Simple Analytics ou AT Internet Analytics.

Elles peuvent également impliquer un serveur mandataire, ou proxy, pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure.

Dans ce cas le consentement explicite des personnes concernées ne peut pas fonctionner car ces dérogations ne sont applicables que pour des transferts non systématiques et donc non pérennes.

Quelles sont les règles à respecter pour les demandes d’accès aux données en dehors de l’Union Européenne ?

Le pays doit garantir un niveau de protection « substantiellement » équivalent à celui de l’UE. L’organisme susceptible de transmettre des données personnelles à un pays en dehors de l’UE doit vérifier que ce niveau de protection est « substantiellement » équivalent à celui de l’UE. Si les normes sont moins contraignantes, l’organisme doit prendre les mesures techniques supplémentaires permettant de rendre l’accès impossible ou ineffectif. L’application de ces mesures devient nécessaire dès que l’accès aux données est possible et non pas seulement probable.

Sources

https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

https://www.usine-digitale.fr/article/impossible-de-parametrer-google-analytics-pour-le-rendre-conforme-au-rgpd-previent-la-cnil.N2013937

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/alternatives-aux-cookies-tiers

https://www.leptidigital.fr/webmarketing/alternatives-google-analytics-15466/