Depuis le 10 février 2022, la CNIL a mis en demeure certains organismes qui utilisent Google Analytics. La raison ? La présence de transferts illégaux de données vers les États-Unis.
En effet, la CNIL a estimé que l’utilisation de Google Analytics sous sa forme actuelle assure un contrôle insuffisant des transferts vers les États-Unis et que la seule mise en œuvre de clauses contractuelles types est insuffisante pour utiliser Google Analytics de façon conforme au RGPD.
Alors à ce jour, comment parvenir à placer son outil de mesure d’audience en concordance avec le RGPD ?
Une préoccupation nécessaire qu’il faut prendre en compte
Il est important de se préoccuper de la fameuse conformité RGPD du cookie Google Analytics. Pour rappel, pour l’utiliser, vous devez insérer une balise Javascript dans le code source de votre page. Ces balises sont exécutées au démarrage du site Web. Les requêtes émises depuis le site vers les serveurs de Google entraînent le dépôt de cookies servant à la mesure de la portée. Ces cookies contiennent un identifiant utilisateur unique qui permet aux sites Web de stocker des chemins de navigation personnalisés.
La question de la conformité au RGPD est donc particulièrement importante. Différents points sont à prendre en compte :
- L’utilisation de cookies analytics est soumise à des obligations légales, notamment en matière de collecte et de suivi des consentements et des objections.
- L’utilisation de Google Analytics sert à mesurer le trafic et à travailler sur l’ergonomie du site.
- Dans d’autres situations, les données de navigation sont employées dans le but de personnaliser les campagnes publicitaires, par exemple en utilisant les outils publicitaires de Google.
- Enfin, Google utilise les données à ses propres fins.
Quand modifier les paramètres de l’outil ne suffisent pas
Suite à cette situation, nombreux sont ceux qui ont tenté d’identifier des paramètres et des mesures techniques qui permettraient de continuer à utiliser Google Analytics dans le respect de la vie privée des internautes. D’ailleurs, le simple fait de modifier la conception des conditions de gestion des adresses IP n’est pas suffisant pour répondre aux exigences de la CJE, d’autant plus que le transfert vers les États-Unis se poursuit. Ainsi, une autre idée courante consiste à utiliser le chiffrement des identifiants générés par Google Analytics, ou à les remplacer par des identifiants générés par l’opérateur du site. Dans la pratique, cependant, il n’offre que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement en raison du traitement continu des adresses IP par Google.
Le problème sous-jacent qui empêche ces mesures de résoudre le problème d’accès aux données par les autorités non européennes est le contact direct via des connexions HTTPS entre les terminaux personnels et les serveurs contrôlés par Google.am. Grâce aux requêtes qui en résultent, ces serveurs reçoivent l’adresse IP de l’internaute et de nombreuses informations sur son appareil. Ces serveurs optimisent la navigation, améliorant l’accessibilité sur tous les sites internet qui utilisent Google Analytics. Seules les solutions capables de rompre cette connexion entre le terminal et le serveur peuvent résoudre ce problème. Au-delà de Google Analytics, ces solutions permettent également l’utilisation d’autres outils de mesure pour s’aligner sur les règles de transfert de données du RGPD.
Existe-t-il une solution ?
Oui, et elle se nomme la proxyfication.
Compte tenu des critères ci-dessus, une solution possible serait d’utiliser un serveur proxy pour établir un lien direct entre l’appareil de l’internaute et le serveur de l’outil de mesure. Cependant, pour que cette action supplémentaire soit considérée comme conforme à ce que le CEPD envisageait dans sa recommandation du 18 juin 2021, il est important de s’assurer que ce serveur répond à un certain nombre de critères. Un tel dispositif permettrait en effet l’utilisation de la pseudonymisation avant l’exportation des données.
L’export est envisageable uniquement si, après analyse profonde, les données personnelles pseudonymisées n’ont pas été attachées à une personne physique ou tout simplement à un individu identifiable, et ce, même si elles sont liées à d’autres informations.
Ainsi, au-delà de la simple absence de requête du terminal de l’utilisateur vers le serveur du compteur, il faut s’assurer que toutes les informations transmises ne permettent jamais de ré-identifier l’individu. Des ressources considérables sont à la disposition des autorités susceptibles de procéder à une telle ré-identification.
Notez que la mise en œuvre des mesures décrites ci-dessous peut être coûteuse et complexe, et peut ne pas toujours répondre aux besoins opérationnels professionnels.
Pour éviter ces problèmes, les professionnels peuvent également utiliser des solutions qui ne transfèrent pas les données personnelles en dehors de l’Union européenne.
Quelques mesures indispensables à respecter
Le serveur qui effectue la proxyfication doit prendre de nombreuses mesures afin de limiter les données transférées. La CNIL estime comme essentiel :
- L’absence de transmission de l’adresse IP au serveur de l’outil de mesure. Si la localisation est transmise au serveur de l’outil de mesure, elle doit être exploitée par un serveur proxy et s’assurer précisément que cette information ne permet pas une réidentification des individus
- Le remplacement de l’ID utilisateur par le serveur proxy. Pour assurer une pseudonymisation efficace, l’algorithme effectuant la permutation doit assurer un niveau de collision suffisant (c’est-à-dire une probabilité suffisante que deux identifiants différents renvoient le même résultat après hachage) et une composante temporelle variable doit être inclue. Au fil du temps, le résultat du hachage ne sera pas toujours le même pour le même identifiant.
- La suppression des informations du site Web référent hors site
- La suppression de tous les paramètres contenus dans les URL collectées ( y compris non seulement l’UTM mais également les paramètres d’URL permettant le routage interne du site) ;
- Le retrait des informations pouvant être impliquées dans la génération des empreintes digitales, telles que les « User Agent » pour supprimer les configurations les plus rares pouvant conduire à une ré-identification.
- La suppression de toutes les autres données pouvant conduire à une ré-identification.
Attention aux conditions d’hébergement
En outre, les serveurs proxy doivent être hébergés dans des conditions garantissant que les données qu’ils traitent ne sont pas transférées vers des pays extérieurs à l’Union européenne (n’offrant pas un niveau substantiellement équivalent à celui de l’Espace économique européen).
En tout état de cause, il appartient au responsable du traitement de procéder à une analyse à cet égard et de prendre les mesures nécessaires pour vérifier s’il souhaite utiliser ce type de solution, comme recommandé par le CEPD. Ces mesures doivent être mises en œuvre pendant la période de maintenance liée à l’évolution du produit.
Vous avez désormais toutes les clés en main pour mettre en conformité votre utilisation de Google Analytics aux yeux du RGPD. Et si jamais, Google a récemment introduit le Privacy Sandbox, qui vise à mieux protéger les données des utilisateurs contre le suivi numérique, le même suivi que de nombreux annonceurs Google Adwords utilisent pour cibler les bonnes audiences. Selon Google, son objectif est de pouvoir remplacer les technologies dépassées comme les cookies tiers et les identifiants publicitaires par de nouvelles approches de la protection des informations personnelles.
Vous souhaitez être accompagné sur Google analytics ? Nos experts en tracking assurent le bon paramétrage de votre compte afin d’assurer une lecture complète et hiérarchisée du comportement des internautes sur votre site.