Google Analytics illégal – La nécessaire mise en conformité des outils de mesure et d’analyse d’audience par les gestionnaires de sites web
7 avril 2022
Dans une décision du 10 février 2022, la Cnil a considéré que les transferts de données opérés dans le cadre de Google Analytics vers les Etats-Unis étaient illégaux.
Google Analytics est un outil proposé par Google qui permet de disposer de statistiques de fréquentation d’un site web. Dans le cadre de l’exploitation de cet outil, un identifiant est attribué à chaque visiteur du site internet, lequel identifiant est une donnée personnelle.
Cette décision fait suite à l’invalidation par la Cour de justice de l’Union européenne du Privacy Shield (CJUE, 16 juillet 2020, aff. C-311/18 Shrems II : JurisData n°2020-010181),mécanisme certifiant que les sociétés établies aux Etats-Unis garantissaient un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne.
Pour la Cnil, « Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. »
De façon tout aussi tranchante, « la Cnil constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD« .
La CNIL a mis en demeure plusieurs gestionnaires de sites web français de se conformer au RGPD, dans le délai d’un mois, « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE » (CNIL, communiqué, 10 févr. 2022, Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web).
Bien que non visée directement par les sanctions, Google n’a pas tardé à réagir en annonçant la disparition de Universal Analytics et son remplacement à partir du 1er juillet 2023 par Google Analytics 4 qui, d’après sa présentation, permettrait d’anonymiser automatiquement les adresses IP et ne permettrait plus de stocker indéfiniment les données collectées.
Lors d’une conférence de presse qui s’est tenue le 25 mars dernier, le Président américain Joe Biden, et la présidente de la Commission européenne, Ursula von der Leyen, ont annoncé être parvenus à un accord sur un nouveau cadre pour le transfert des données personnelles entre les deux puissances économiques.
Si le détail de cet accord n’est pas encore connu, l’objectif affiché est de respecter les standards européens de protection des données.
En attendant, d’autres injonctions à l’encontre de gestionnaires de sites français utilisant la fonctionnalité Google Analytics, ou d’autres outils donnant lieu à des transferts de données d’internautes européens vers les Etats-Unis (comme notamment Google Connect, et le Subscribe with Google utilisé par de nombreux sites média) demeurent possibles.
Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils « servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux ».
Un certain nombre d’outils de mesures d’audience approuvés par la CNIL sont disponibles sur son site.
Céline Cuvelier