La CNIL a-t-elle Banni Définitivement l’Utilisation de Google Analytics des Sites Français?

Le 07 juin 2022, ce sont non pas une mais deux pages exhaustives qui ont été communiqués via le compte Twitter de La Commission Nationale de l’Informatique et des Libertés. 

La décision de la CNIL de déclarer illégale l’utilisation de Google Analytics ne date pas d’hier: pour remettre en contexte, c’est le 10 février 2022 qu’a été annoncée la non conformité de l’outil en raison des transferts illégaux de données vers les États-Unis. Pour rappel, le Privacy Shield (accord entre les États-Unis et les États Membres de L’UE) a été invalidé et rend non conforme tout transfert de données personnelles.

Grâce à cette dernière mise à jour, la CNIL réitère que même une simple modification du paramétrage de Google Analytics est insuffisante pour se rendre conforme au RGPD.

Google Analytics anonymise-t-il vraiment les IP en amont?

SI vous êtes un créateur de site internet ou un professionnel du numérique (digital si vous préférez), vous êtes plus ou moins familier avec l’outil analytique, et vous avez l’habitude, comme bon élève, de toujours opter pour l’anonymisation de l’IP afin de garantir le respect du traitement des données personnelles des utilisateurs de votre site internet en conformité avec le RGPD.

Or d’après le FAQ publié par la CNIL, on en sait davantage sur la partie de la fameuse anonymisation de l’IP prônée par Google:

« Dans le cadre de la mise en demeure, Google a indiqué utiliser des mesures de pseudonymisation, mais non d’anonymisation. Google propose bien une fonction d’anonymisation des adresses IP, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux États-Unis(...) Enfin, l’utilisation conjointe de Google Analytics avec d’autres services de Google, notamment de marketing, peut amplifier le risque de suivi. »

De ce fait, la CNIL réaffirme que Google ne garantit pas cette anonymisation à 100%. Le garant s’appuie sur deux point dans ce paragraphe:

• L’anonymisation non garantie par Google: selon le RGPD, les données à caractère personnel rendues anonymes de telle manière que la personne ne soit pas ou plus identifiable ne constituent plus des données à caractère personnel. Pour qu’une donnée soit véritablement rendue anonyme, le processus d’anonymisation doit être irréversible.
• L’utilisation conjointe de services Google, technique appelée aussi cross-data (croisement des données): le RGPD indique que si différentes informations dont le regroupement permet d’identifier une personne en particulier, ces données à caractère personnel même si elles sont rendues anonymes, chiffrées ou pseudonymisées, peuvent être utilisées pour identifier à nouveau une personne, elles constituent donc toujours des données à caractère personnel et sont couvertes par le RGPD.

Pour toutes ses raisons, peu importe les réglages faits sur Google Analytics selon la CNIL, rien ne suffira à le rendre conforme au RGPD à part l’installation d’un serveur dit proxy comme détaillé ci-dessous.

Un serveur mandataire « proxy » pour rendre Google Analytics conforme au RGPD ?

La CNIL propose comme solution alternative avec la mise en place d’une proxyfication, mais comme mentionnée par cette dernière, elle peut se révéler coûteuse et sans trop d’intérêt au vue des contraintes importantes pour les entreprises, comme par exemple la suppression des sites référents, utile pour le monitoring de backlinks ou autre campagnes… et les paramètres UTM, vital pour toute campagne publicitaire ou email entre autres.

Certaines mentions citées dans les mesures à prendre pour cette proxyfication comme « La CNIL considère, en principe, comme nécessaire : » peuvent être interprétées en l’état actuel comme des « recommandations » et non des obligations. Car ne l’oublions pas, le Conseil d’État a annulé par le passé certaines lignes directrices comme celle de l’interdiction des « cookie walls », à savoir si ces mesures nécessaires sont trop exhaustives ou pas assez. Mais ne nous leurrons pas, le Conseil d’État n’annulera pas la décision de la CNIL quant à l’utilisation de compte Google Analytics, cette dernière ne respectant pas la protection des données personnelles.

Au vu de tous ses éléments, ce serait quoiqu’il en soit un non sens de procéder à cette proxyfication très contraignante de Google Analytics. Il serait donc préférable d’installer une autre solution de mesure d’audience recommandée par la CNIL, l’outil n’ayant plus l’utilité première de tracking enrichi.

Que dit la CNIL concernant GA4 ?

Rien n’est mentionné concernant GA4 de même que GA3, la CNIL englobe l’outil Google Analytics dans sa globalité sans distinction de sa version, comme le souligne le Digital Analyst, Loïc CHOSSIERE:

«Ga4, à la différence de GA3, a une gestion des cookies légèrement différente et l’anonymisation de l’IP est active de manière automatique contrairement à GA3 – Universal Analytics (UA) où elle doit être activée manuellement. Mais les données collectées subissent le même traitement que pour l’UA, elles sont envoyées elles aussi vers les États Unis. »

Qu’en est-il du nouveau privacy shield ?

Il reste néanmoins l’option de patienter et d’espérer une accélération sur une nouvelle accord conjoint entre la Commission européenne et les États-Unis, mentionné déjà en mars 2022 concernant une future décision visant à encadrer de manière satisfaisante les flux de données vers les Etats-Unis, mais malheureusement, ce n’est à ce stade qu’une annonce politique provoquée par le conflit russo-ukrainien responsable de la crise économique mondiale que nous connaissons.

Quelles sont les actions à envisager suite à cette deuxième annonce de la CNIL concernant GA ?

Il y a très peu d’espoir pour que Google agisse enfin et corrige les failles qui ont été déjà par le passé signalé à maintes reprises par la CNIL, où d’ailleurs celle-ci l’a sanctionné à hauteur d’une amende record de 150 million d’euros au total, pour d’autres motifs.

Il ne reste donc qu’au responsable de traitement utilisant Google Analytics comme technologie de prendre acte dès aujourd’hui de l’utilisation illégale de cet outil afin de se mettre en conformité au RGPD. Il n’y a plus aucun doute sur le transfert de données personnelles vers les Etats-Unis et sur le risque d’identification des personnes avec l’outil analytique de Google.

Si vous avez encore des incertitudes, la Cnil a publié une foire aux questions afin d’accompagner les entreprises.

Quel avenir pour les Habitués de GA

C’est un grand bousculement pour tous les professionnels du secteur et ils sont nombreux: les spécialistes SEO qui étudient et croisent les données entre autres, les spécialistes PPC, les web designer, etc Tous ces professionnels devront réévaluer complètement leur façon de de travailler avec les services de Google, et sauter le pas pour opter à une solution conforme pérenne si rien n’est fait de la part du mastodonte californien pour garantir une totale transparence et une protection des données enfin en adéquation avec le GDPR. En effet, choisir d’ignorer et outrepasser les règles au profit du marketing, ou les respecter quitte à payer ou sacrifier certaines options. La transition prendra du temps, mais elle sera nécessaire.

Google conserve quoiqu’il en soit sa place de numéro un en France en tant que moteur de recherche mais aussi en plateforme de campagne publicitaire qui offre également le CTR le plus élevé par rapport à Meta (Facebook + Instagram). Est-ce au final un coup d’épée dans l’eau? affaire à suivre…

Si vous souhaitez être informé des dernières actualités Analytics en France, n’hésitez pas à suivre le compte Twitter de Pixel de tracking.

Nota bene: cet article est seulement un avis subjectif en tant que professionnelle du secteur. Il n’a aucune valeur juridique, pour toute information, veuillez vous rapprochez d’un avocat spécialisé dans le droit des données personnelles ou de votre DPO.