En février, la CNIL mettait en demeure trois sites utilisant Google Analytics pour non-respect des RGPD. En cause : le transfert des données de ces sites vers le pays des cow-boys et des burgers pour analyse via l’outil de suivi de perf’ de Google.
C’est que, depuis l’invalidation du Privacy Shield par la police du web en juillet 2020, le transfert de données aux État-Unis est strictement encadré.
Cette invalidation constituait les prémices d’une déclaration de guerre. La mise en demeure, elle, la première action concrète pour l’enclencher. Mais, la date à retenir comme celle du début des hostilités sera celle du 7 juin 2022. En ce jour, la CNIL a frappé fort en annonçant (spoiler alert) qu’aucun paramétrage de GA ne permettait son utilisation en toute légalité… Une annonce d’autant plus importante que, selon l’avocate, Alexandra Iteanu, spécialisée dans la data et le RGPD : « Maintenant que l’utilisation de Google Analytics est condamnée ouvertement, n’importe quel site peut subir un contrôle de la CNIL.”
Si la CNIL (et un certain nombre de ses homologues européennes) tente, de cette manière, de mettre fin à la mainmise de Google sur le secteur et à protéger la vie privée des citoyen·nes, ce sont bien les entreprises et plus généralement l’ensemble des sites qui utilisent GA qui, dans un premier temps en tout cas, trinquent. Car avec 75% des parts de marché mondial des outils statistiques détenues par le géant US en 2021 ce sont 3 sites sur 4 qui utilisent cet outil pour optimiser leur campagnes, leurs contenus, leur expérience client… Autant de sites qui doivent donc trouver des solutions alternatives et vites. D’autant que les justicier·es d’internet sont déjà prêt·es à déposer des recours pour les forcer à accélérer cette transition. Autrement dit : personne n’est épargné.
Au passage, si vous n’avez pas pu participer au webinar sur le Web Analytics avec Olivier Hauss, campaign manager et Rémi Mandran, account manager, cliquez sur l’image ci-dessous pour voir la rediffusion :
Une sortie de secours pour Google Analytics ?
On continue à vous divulgacher la suite : la CNIL met en garde les entreprises en affirmant qu’aucun paramétrage n’est possible. Et oui, cela implique la pseudonymisation comme le chiffrement. Explications.
Première tentative : la pseudonymisation
C’est l’une des solutions proposées par Google vers laquelle les marketeux espéraient pouvoir se tourner. Mauvaise nouvelle : la CNIL ne considère pas cette alternative comme suffisamment sécurisée.
En cause ? Les données ne sont pas anonymisées mais pseudonymes. Une nuance mine mais qui fait toute la différence :
- L’anonymisation permet, vous l’aurez deviné, de rendre totalement anonymes l’ensemble des données liées à l’utilisateur·ice et cela de manière définitive. En d’autres termes, l’anonymisation permet de rendre impossible et irréversible le tracking des données. C’est pourquoi une donnée anonymisée n’est plus soumise aux RGPD. La pseudonymisation, quant à elle, ne permet pas d’attribuer les données à un·e utilisateur·ice… à moins d’avoir des informations supplémentaires. Autrement dit, en regroupant différentes données ensemble, la réidentification de l’utilisateur·ice est possible. Et oui Google est malin et sait faire beaucoup de choses, d’autant que l’utilisation d’Analytics avec d’autres services de sa suite (par exemple les métadonnées relatives au navigateur ou au système d’exploitation), lui permet l’accès à un nombre impressionnant de données.
Deuxième tentative : le chiffrement
Même jugement pour le chiffrement qualifié d’insuffisant aux yeux de la CNIL.
Si, sur le papier, cela pouvait effectivement fonctionner, c’est ici la manière dont Google procède au chiffrement qui pose problème. Ou, plus spécifiquement, le fait que Google en prenne directement la charge de A à Z. Or, il peut légalement être contraint par le régulateur américain à fournir l’ensemble de ses données chiffrées… y compris la clé nécessaires à les rendre accessibles et compréhensibles. Ce qui ne convient PAS DU TOUT à la CNIL qui rappelle :
“Afin que le chiffrement soit considéré comme une garantie supplémentaire suffisante, les clés de chiffrement devraient notamment être conservées sous le contrôle exclusif de l’exportateur de données, ou d’autres entités établies dans un territoire offrant un niveau de protection adéquat.”
La proxification : LA solution ?
Est-ce la fin de Google Analytics ? Pas forcément : pour continuer à utiliser le logiciel en toute légalité, la CNIL préconise l’utilisation d’un serveur mandataire aka un proxy. Son intérêt : casser la communication directe entre l’internaute et les serveurs de Google. La réidentification de la personne serait alors impossible.
Et ça marche comment ? Les 7 commandements de la mise en place d’un proxy
Pour la mise en place de cette solution dans les règles de l’art, un certain nombre de conditions doivent être respectées :
- Pas de transfert de l’adresse IP vers les serveurs d’outils de mesure.
- L’identifiant utilisateur·ice doit être remplacé par le serveur de proxification.
- La suppression de l’information du site référent.
- La suppression de tout paramètre contenu dans les URL collectées.
- Le retraitement des infos pouvant participer à la génération d’une empreinte.
- L’absence de toutes collectes d’identifiants entre sites ou déterministe (CRM).
- La suppression de toute autre donnée pouvant mener à une réidentification.
Enfin, toutes ces conditions ne seront valables et acceptées qu’à la seule condition que le serveur de proxification soit hébergé dans l’Union Européenne.
On fait quoi du coup ?
On ne va pas se le cacher : la mise en conformité de GA ne se fait pas d’un coup de baguette magique. La CNIL elle-même reconnaît :
“La mise en œuvre des mesures décrites ci-dessous (ndlr : la proxification) peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels.”
Et c’est bien pour cela que le régulateur Français préconise de changer de solution de web analytics. Se tourner vers des options ne réalisant pas de transfert de données personnelles en dehors de l’Union Européenne, serait une meilleure pratique selon elle. La CNIL met à disposition sa liste d’outils alternatifs à Google Analytics.
De notre côté chez Intuiti, notre recommandation est simple : pas de gestes brusques ou de décisions inconsidérées. La meilleure chose à faire reste de s’entourer de spécialistes du webanalytics qui pourront vous conseiller sur la meilleure manière de procéder en prenant en considération votre budget, vos besoins, l’existant… Et ça tombe bien, nous équipe sont spécialisées sur la question. On s’en parle ?
Pour aller plus loin sur le sujet :
- Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? | CNIL
- Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics | CNIL
- Cookies : solutions pour les outils de mesure d’audience | CNIL
- Google Analytics et RGPD : la CNIL explique comment être en conformité | BDM