Le 10 février 2022, la CNIL a imposé « à un gestionnaire du site web français [sans toutefois la citer] de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil [Google Analytics] dans les conditions actuelles » (CNIL).
Certaines entreprises se sont ruées sur des solutions alternatives. Que faut-il faire ? Faut-il suivre ce mouvement de panique ? Attendre ?
La meilleure chose à faire est comprendre exactement de quoi il s’agit et en parler avec son DPO pour arbitrage. Essayons de mettre la situation à plat.
« La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés. »
Comme l’Europe a mis en place le RGPD pour protéger la vie privée de ses citoyens dans l’univers digital, les Etat-Unis ont mis en place le « Privacy Shield ». Mais celui-ci n’est pas aussi « protecteur » que notre RGPD.
Le problème actuel tient au fait que Google Analytics transfère aux Etats-Unis des données concernant les citoyens européens. Dès lors, leurs possibles utilisations et traitements risquent d’échapper aux contraintes imposées par le RGPD sans que ni ke citoyen visiteur du site, ni le gestionnaire du site ne puisse le savoir ou s’en prémunir.
Il est à noter que ce risque concerne les données des visiteurs qui ont donné leur consentement aux cookies.
Même si Google n’est donc pas visé directement, il a publié ce communiqué où il précise qu’une communication sera apportée « dans les semaines à venir » et où il annonce :
« Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourront ainsi continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité. »
Quand cela sera-t-il fait ? Impossible à dire à l’heure actuelle.
Avant tout il faut en discuter avec son DPO ou a défaut son service juridique, mais aussi avec son board.
Nous constatons que les entreprises de secteurs sensibles ont migré très rapidement par mesure de précaution : les acteurs des télécom, de la cybersécurité, de la sécurité, de la santé notamment ainsi que certaines organisations publiques et parapubliques.
Si vous souhaitez en faire de même, nous vous recommandons Matomo. Après analyse des différents acteurs sur le marché, notre équipe technique a retenu cet acteur notamment car il permet une formule sous licence payante hébergée en Europe, mais aussi une exploitation gratuite en mode « on-premise ». C’est cette dernière formule que nous avons mis en place sur nos sites depuis trois semaines. Les données sont stockées sur nos propres serveurs. L’hébergement est ainsi garanti Europe, pour assurer la sécurité et le contrôle maximal des données des visiteurs.
Vous verrez un grand nombre de solutions analytics recommandées par la CNIL pour leur respect des règles liées à l’utilisation des cookies. Gardez à l’esprit que parmi les acteurs listés certains n’hébergent pas les données qu’ils collectent en France ou en Europe.
A vous de faire le tri sur ce critère de localisation des serveurs de données, si vous le jugez pertinent.
Oui, bien sûr. Il s’agit de protection de données personnelles, la CNIL ne fait pas de distinction. Le BtoB doit respecter les mêmes règles que le BtoC.
Au contraire, lorsqu’il s’agit d’envoyer des emails à des cibles BtoB, la CNIL dit qu’il y a exemption de consentement préalable (le texte de référence CNIL) pour les citoyens français, mais qu’il faut bien respecter la simplicité d’opposition.
Pour aller plus loin sur le sujet « Google Analytics et CNIL » :
Vous pouvez aussi contacter Fred Top, DPO et Directeur Technique de l’agence : f.top@aressy.com
