logiciel rgpd

Google Analytics et RGPD : Contraintes et Alternatives

RGPDMay 17, 2022

Va-t-on devoir se passer de Google Analytics sur le sol européen ? Les autorités de contrôle de la conformité au RGPD ont inquiété les DPO et surtout les responsables marketing en invalidant l’utilisation de l’outil américain, d’abord en Autriche en janvier, puis en France en février 2022.

Dans ce contexte, nous revenons sur les tenants et aboutissants de ces affaires. Qu’est-il reproché à Google Analytics au regard du RGPD ? Quel est le contexte de ces décisions ? Et surtout, quelles sont les conséquences sur les entreprises européennes et comment se mettre en conformité ?

rgpd google analytics

Les décisions des autorités de contrôle du RGPD sur Google Analytics

L’histoire de la relation tendue entre le RGPD et Google Analytics se raconte en plusieurs chapitres.

Chapitre 1

La Cour de Justice de l’Union Européenne (CJUE) rend un arrêt dit “Schrems II” le 16 juillet 2020. Dans cette décision, la cour invalide le “Privacy Shield”. Ce dernier est un accord entre l’UE et les Etats-Unis entré en vigueur en 2016 et qui encadre le transfert des données personnelles depuis une entité européenne vers une entité américaine. La Commission européenne avait reconnu cet outil comme “adéquat”, c’est-à-dire offrant un niveau de protection suffisant aux données personnelles des citoyens européens, bref comme conforme au RGPD.

Or un point est mis en avant par la CJUE pour invalider le Privacy Shield : il s’agit de la possibilité donnée aux services de renseignement américains de consulter les données concernées (sous condition).

Résultat : le Privacy Shield est invalidé.

Chapitre 2

En janvier 2022, l’homologue autrichien de la CNIL déclare que Google Analytics n’est pas conforme au RGPD. En fait, c’est justement parce que Google Analytics s’appuyait sur le Privacy Shield pour justifier le transfert de données collectées en Europe vers les Etats-Unis pour analyse.

Chapitre 3

En février 2022, la CNIL prend le même type de décision. Plus précisément, le transfert de données hors UE est très encadré par le RGPD. Il est nécessaire de reposer sur un système ayant été déclaré conforme par une décision d’adéquation, ce qui était donc le cas du Privacy Shield avant l’arrêt de la CJUE (chapitre 1). En l’absence d’un tel soutien juridique, un certain nombre de mesures supplémentaires doivent être mises en place. Concrètement, il s’agit d’ajouter des clauses strictes de protection des données dans les contrats encadrant leur transfert. La CNIL considère que les mesures supplémentaires adoptées par Google sont insuffisantes : elles ne permettent pas d’exclure la possibilité d’un accès aux informations personnelles par les services de renseignement américains.

En conséquence, la CNIL a mis en demeure plusieurs éditeurs de sites internet de cesser d’utiliser Google Analytics pour analyser les données de fréquentation de leurs sites.

Quelles règles pour les transferts de données hors UE ?

Le cas du RGPD et de Google Analytics pose la question plus large du transfert des données hors UE. Le texte prévoit un certain nombre d’outils permettant d’encadrer ce transfert et donc d’assurer sa mise en conformité avec le RGPD.

Une décision d’adéquation de la Commission européenne

La Commission européenne peut décider que le niveau de protection assuré par un pays donné est suffisant pour garantir le respect des droits des résidents européens en cas de transfert de leurs informations. Dans ce cas, le transfert des données vers le pays concerné est possible.

C’est précisément une telle décision d’adéquation qui a été invalidée avec le Privacy Shield par la CJUE, ce qui justifie les décisions des autorités de contrôle comme la CNIL sur la non-conformité de Google Analytics au RGPD.

Des clauses contractuelles types de la Commission européenne

Concrètement, il s’agit d’un ensemble de clauses qui doivent être insérées dans les accords contractuels encadrant les opérations de transfert de données. Ces clauses sont adoptées par les autorités de contrôle comme la CNIL et validées par la Commission européenne.

Dans le cas de Google, les conditions d’utilisation du service, qui ne sont en pratique pas négociables par une entreprise, ne contiennent pas ces fameuses clauses types.

Un code de conduite approuvé

Ce code de conduite est adopté par le destinataire de la donnée, c’est-à-dire le sous-traitant au sens du RGPD. Il doit contenir un certain nombre de clauses qui sont encadrés par le RGPD et les lignes directrices adoptées par le Comité européen à la protection des données, organe central de protection des données en Europe.

Ces codes sont adoptés par branche ou secteur d’activité et approuvés par la CNIL ou par les autorités de contrôle compétentes. Enfin, leur respect est contrôlé par un organisme agréé par l’autorité de contrôle.

A noter qu’il existe d’autres mécanismes plus spécifiques permettant d’opérer des transferts de données à l’international. Ceux-ci sont plus rares et nous ne les détaillons pas ici par souci de clarté.

Google Analytics et RGPD : comment se mettre en conformité ?

Doit-on tout simplement renoncer à utiliser Google Analytics pour être en conformité au RGPD sur son site web ?

Il faut noter deux éléments qui viennent nuancer cette idée. Premièrement, la CNIL n’a pour l’instant pas prononcé de sanctions pour des entreprises utilisant Google Analytics. Elle a pour le moment mis en demeure certains sites d’arrêter d’utiliser la solution, ce qui n’est pas tout à fait la même chose en termes de risque juridique, mais ne s’apparente pas non plus à une conformité avec le texte européen.

Deuxièmement, Google évolue vers un respect plus important du RGPD dans ses fonctionnalités. A titre d’exemple, on peut citer la possibilité d’anonymiser les adresses IP dans GA 4. Néanmoins, à date et selon la CNIL, Google Analytics ne peut toujours pas être considéré comme suffisamment sérieux en termes de protection des données pour être autorisé.

Enfin, il est avancé qu’une mise en conformité au RGPD est possible via un paramétrage avancé de Google Analytics pour contourner les différents problèmes soulevés par la CNIL. Par exemple prévoir le recueil des consentements des utilisateurs

Il peut donc être utile de se tourner vers une alternative… Parmi elles, l’outil Matomo se veut particulièrement protecteur des données analysées.

La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.