Les questions-réponses de la CNIL mentionnent explicitement que l'utilisation de Google Analytics constitue toujours une violation du GDPR. En outre, elle a déclaré qu'il n'y a pas de circonstances dans lesquelles ce n'est pas le cas.
Dans l'article qui suit, nous analysons les déclarations faites par la CNIL lors de la session de questions-réponses.
- Schrems II et la violation du Privacy Shield 1.0
- Mise à jour du Privacy Shield 2.0
- Conclusion de la séance de questions-réponses de la CNIL
- Les solutions
- Pourquoi nous en soucions-nous ?
Entrons dans le vif du sujet !
Schrems II et la violation du Privacy Shield 1.0
La situation actuelle avec Google Analytics a été déclenchée par l'arrêt Schrems II qui a invalidé le bouclier de protection de la vie privée 1.0. Selon le GDPR, les transferts de données en dehors de l'UE ne sont possibles que si des garanties adéquates peuvent être utilisées. Le bouclier de protection de la vie privée a servi de mécanisme pour protéger ces transferts de données.
Schrems II a invalidé le bouclier de protection de la vie privée : En résumé, l'Union européenne exige que ses citoyens bénéficient de droits en matière de protection de la vie privée, ce qui n'est pas le cas du gouvernement américain. En vertu de la loi, Google est considéré comme un "fournisseur de services de communication électronique", ce qui signifie qu'il doit divulguer des données sur les citoyens de l'UE si les services de renseignement américains le lui demandent.
En réponse, le DSB (organisme autrichien de surveillance de la protection des données) et la CNIL ont déclaré que l'utilisation de Google Analytics était contraire au GDPR et que les entreprises de l'UE qui continueraient à utiliser Google Analytics pourraient se voir infliger des amendes.
Mise à jour du Privacy Shield 2.0
Depuis lors, les États-Unis et l'Union européenne ont annoncé un accord politique qui remplacerait le bouclier de protection de la vie privée invalidé. Nous avons écrit à ce sujet ici et évoqué le fait que l'accord n'a aucune valeur juridique. Il s'agit plutôt d'un accord politique. Il n'y a toujours pas de document juridique, et il faudra un certain temps pour le finaliser.
La CNIL l'a également souligné lors de sa séance de questions-réponses de la semaine dernière. Elle a spécifiquement mentionné que la déclaration commune n'est pas un cadre juridique et qu'on ne peut pas s'y fier. La CNIL s'attend à ce que l'accord ne soit pas conclu avant la fin de l'année. Cependant, lorsqu'il sera finalisé, il est presque certain qu'il fera l'objet de nouvelles contestations juridiques afin de déterminer s'il n'est pas tout aussi défectueux que le Privacy Shield 1.0. Pour donner un ordre d'idée, le Privacy Shield 1.0 a été déclaré invalide en juillet 2020. Il a fallu attendre février 2022 pour que l'ORD et la CNIL prennent des mesures d'application proactives.
Conclusion de la séance de questions-réponses de la CNIL
Selon l'agence française de protection des données, la principale conclusion de la séance de questions-réponses est que Google Analytics est toujours illégal. La CNIL a également confirmé avoir adressé des mises en demeure à des organisations entre la première annonce en février et aujourd'hui. Les entreprises ont un mois pour se mettre en conformité, faute de quoi elles se verront infliger une amende.
La CNIL demande expressément aux sites web de l'UE de modifier leur utilisation de Google Analytics. Toutefois, elle a également déclaré que, compte tenu des informations disponibles, l'utilisation de Google Analytics n'est en aucun cas légale. Google a proposé différentes solutions pour y remédier. La CNIL les a toutes rejetées.
Google a confirmé que les données sont hébergées sur le sol américain et qu'aucun changement aux yeux de la CNIL n'empêcherait le transfert de données personnelles. Google a proposé deux solutions :
- L'anonymisation des données personnelles.
- L'utilisation d'identifiants uniques
La CNIL a écarté ces deux solutions car Google n'a pas pu démontrer que l'anonymisation des données a eu lieu avant le transfert des données vers les Etats-Unis. L'utilisation d'identifiants uniques était également insuffisante car les identifiants uniques pouvaient être combinés avec d'autres données.
En outre, la CNIL note que Google propose davantage de solutions de suivi des adresses IP, ce qui signifie que ces services permettent de recouper les adresses IP et donc de retracer l'historique de navigation des utilisateurs. Elle ajoute que le cryptage des données ne sera pas suffisant tant que Google disposera des clés de cryptage, ce qui lui permettra d'accéder aux données personnelles s'il le souhaite.
D'après ce qui précède, nous pouvons supposer que les amendes vont probablement augmenter. Le fait qu'il n'existe aucune circonstance dans laquelle Google Analytics peut être utilisé légalement permet d'établir des lignes directrices simples. Par conséquent, l'application de la décision n'a jamais été aussi facile.
La question de savoir si cette décision ne s'applique qu'à la version actuelle de Google Analytics (universal analytics) fait l'objet d'un débat. La réponse courte est que cela s'applique à toutes les versions et à toutes les configurations de Google Analytics, y compris à la version la plus récente, Google Analytics 4. Nous avons écrit à ce sujet plus en détail dans ce blog.
Les solutions
La première solution proposée était le cryptage des données, la clé permettant de décrypter les données devant être entre les mains de l'exportateur de données (ou d'un tiers de confiance basé dans l'UE). De cette manière, les données des citoyens de l'UE ne sont pas transmises aux services de renseignement américains.
Une autre solution consisterait à utiliser un serveur proxy. De cette manière, il n'y a pas de contact direct entre l'exportateur de données et Google, car le serveur proxy agit en tant qu'intermédiaire.
La dernière option proposée consisterait à demander le consentement explicite des utilisateurs pour les transferts de données. Toutefois, cette solution n'est pas viable, car ce serait une horreur de demander ce consentement à chaque visiteur lors de chaque visite. Cette solution ne pourrait donc fonctionner que dans des circonstances exceptionnelles.
Toutefois, la mise en œuvre des solutions susmentionnées pourrait être coûteuse, et la question se pose de savoir si elles répondront également aux besoins opérationnels.
Si tout cela vous semble médiocre et que vous ne voulez plus vous soucier du GDPR, il existe des alternatives à Google Analytics qui respectent la vie privée. Simple Analytics est l'une d'entre elles. Avant de présenter sans vergogne nos solutions comme étant les meilleures, nous avons passé en revue toutes les alternatives respectueuses de la vie privée et avons trouvé quatre solutions que vous pourriez vouloir consulter.
Pourquoi nous en soucions-nous ?
Nous sommes une équipe indépendante de deux personnes soucieuses de la protection de la vie privée et convaincues que l'avenir de l'analyse web est sans cuisinier. Si vous êtes prêt à abandonner Google Analytics et que vous souhaitez découvrir ce que nous avons créé, n'hésitez pas à nous contacter.