Article mis à jour le 27 août 2024.
Ecrit par
Lou Rédac
Publié le
Catégorie
Site internet
Lecture
6 minutes
La Commission nationale de l’informatique et des libertés (CNIL) attaque Google pour non-respect du RGPD, soit la protection des données personnelles. Google Analytics est dans le viseur, la Commission estime que le transfert des données privées des Européens vers les USA n’est pas suffisamment encadré. L’outil d’analyse d’audience proposé par Google doit être utilisé de manière à ne pas divulguer des données sensibles aux Américains sous peine de sanction. Plus de 6 entreprises françaises doivent se mettre en conformité avec la loi informatique et liberté dans un délai d’un mois. Dans quelles mesures peut-on encore utiliser Google Analytics suite aux exigences de la CNIL ?
Cet outil gratuit a été lancé par Google en 2005 pour permettre à toutes les entreprises d’analyser l’audience de leur site web. Les pages sont taguées grâce à un paramétrage personnalisable pour que les données soient rapportées sous forme de tableau. Chaque visiteur du site client a automatiquement un identifiant unique, ce qui représente une donnée à caractère personnel.
Le web analytics va ainsi récolter et analyser :
Répondant aux besoins constants des entreprises pour mieux connaître leur cible, Google Analytics (GA) évolue en permanence. Il permet de recueillir tous les mouvements en temps réel et peut même calculer le ROI des réseaux sociaux, soit le retour sur investissement. Plus qu’un simple outil, il favorise la bonne optimisation d’un site web dans le cadre d’une stratégie digitale optimale.
Allié aux comptes Google Search Console, AdSense et AdWords, GA devient un puissant outil d’analyse du web pour propulser son activité. Google propose une version premium payante, Analytics 360, adaptée aux grandes entreprises. Elle permet d’accéder à des outils plus avancés, tels que des rapports détaillés et personnalisables sur les entonnoirs de conversion, une fréquence d’actualisation des données garantie toutes les 4 heures, ainsi que des services complémentaires avec un réseau international de partenaires.
Les autorités de protection des données ont été saisies par l’association européenne My Privacy Is None of Your Business (NOYB) accusant les utilisateurs de Google Analytics de transférer des données personnelles vers les États-Unis. Voici les explications !
La Commission nationale de l'informatique et des libertés (CNIL) est un règlement général sur la protection des données (le RGPD) fixé par le Parlement européen le 27 avril 2016. Il fait l’objet d’un nouveau règlement datant du 25 mai 2018, ayant pour objectif de :
La CNIL, dans le cadre de la loi informatique et liberté, impose aux entreprises d’être transparentes quant à la collecte d'informations personnelles d’individus ou d’autres structures et surtout, de récolter uniquement les données dont elles ont besoin pour leur activité. L’autorité de contrôle des données sensibles se montre intransigeante et souhaite responsabiliser chaque acteur, n’hésitant pas à appliquer des sanctions pénales si les articles 44 et suivants du RGPD ne sont pas respectés.
Jeudi 10 février 2022, la CNIL a mis en demeure un gestionnaire de site web qui utilise Google Analytics. La Commission reproche à l’outil de transférer des données à caractère personnel, notamment l’adresse IP des visiteurs des sites clients, vers les USA, ce qui ne respecte pas le règlement sur la loi informatique et liberté en vigueur en Europe. Le gérant risque une amende salée représentant jusqu’à 4 % de son chiffre d’affaires.
Pour mieux comprendre, il faut remonter un peu le temps. En juillet 2020, la Cour de Justice de l’Union Européenne a rejeté le Privacy Shield dit Schems II. Cette loi américaine, entrée en vigueur le 1er août 2016, obligeait les entreprises américaines collectant des données sensibles européennes de s’inscrire sur un registre. Cependant, la CNIL estime que la protection des données ainsi transférées n’est pas optimale.
Depuis, à la date de la publication de cet article, 101 plaintes ont été dénombrées, 6 sites internet français sont concernés : Auchan, Decathlon, Free, Leroy Merlin, le Huffington Post, et Sephora. Ils disposent d’un mois pour se mettre en conformité du RGPD. Les pays américains autorisent, quant à eux, l’exploitation des données privées de leurs citoyens sans leur consentement.
L’autorité de contrôle des données européennes a tout de suite réagi en dénonçant ces pratiques. Elle impose des sanctions à toute entreprise européenne qui dévoile l’adresse IP des internautes se rendant sur leur site. Ce problème transnational reviendrait au Comité européen de la protection des données (EBPD), d’après Alan Walter du Cabinet Walter Billet Avocats.
Deux solutions sont aujourd’hui possibles pour utiliser l’outil de statistiques de manière légale :
Pour continuer à utiliser Google Analytics tout en répondant aux exigences de la CNIL, il suffit de rendre les données récoltées anonymes. Google met à disposition de ses utilisateurs un blogspot expliquant en détail toutes les fonctionnalités du web analytics pour anonymiser les données. Il rappelle que le téléchargement des informations recueillies par Google pour identifier une personne est illégal. De plus, il est possible de supprimer ces données de leurs serveurs. L’utilisateur de l’outil reste donc maître à bord, il est seul responsable du traitement des données.
Une autre solution consisterait à transférer les données sur un serveur européen. En effet, les nouvelles clauses contractuelles types de la commission européenne (CCT) imposent à l’exportateur de se référer à la législation du pays lors de transfert de données. La loi sur la protection des données sensibles étant la même en Europe, l’utilisateur ne sera pas poursuivi par la CNIL.
Les entreprises qui ne souhaitent plus utiliser Google Analytics peuvent avoir recours à une analyse de l’audience de leur site sans condamnations pénales. Voici les alternatives possibles :
La CNIL a publié un article concernant les “solutions pour les outils de mesure d’audience” d’un site web. D’une part, elle rappelle dans quels cas les cookies sont exemptés du consentement de l’utilisateur conformément à la législation. D’autre part, elle a auditionné et validé plusieurs outils permettant de suivre en détail le trafic d’un site web.
En voici un échantillon :
Des discussions sont en cours évoquant la possibilité de création de licences accordées aux Américains par les entreprises françaises. Ces nouveaux contrats franco-américains permettraient de protéger les données européennes face aux lois américaines et ainsi d’être en conformité avec le RGPD. Ce type de licence fonctionne déjà avec Microsoft et Orange ou Thales et Google, par exemple.
Ce qu’il faut retenir de cette problématique, c’est que les professionnels du web peuvent continuer à utiliser Google analytics à condition d’anonymiser les données. Certains préfèrent se tourner vers d’autres outils pour analyser le trafic de leur site web en attendant qu’une solution soit apportée. La CNIL élargit son contrôle des données personnelles des Européens. Facebook Connect avec Meta serait aussi dans le collimateur de la Commission. Affaire à suivre de très près !
Si vous rencontrez des difficultés pour vous mettre en conformité RGPD avec votre compte Google Analytics, contactez nos experts, ils s'occupent de tout.
Lou Rédac
Rédactrice web SEO
Créatrice de contenu web, correctrice littéraire, autrice de poésie bilingue 🇨🇵🇪🇸
Recevez nos derniers articles dans notre newsletter LinkedIn.
Inscrivez-vous à notre newsletter mensuelle sur LinkedIn.