Nouveau rebondissement dans notre feuilleton préféré de 2022: les règles CNIL et Google Analytics. Suite aux dernières annonces de Google sur le paramétrage de Google Analytics 4, la CNIL a proposé un article très complet sous forme de questions-réponses concernant l’utilisation de Google Analytics en France. La CNIL affirme que les mises en demeure envoyées en début d’année font jurisprudence et que les règles établies doivent s’appliquer à tous. Elle évoque également une solution pour utiliser Google Analytics en Europe.
La CNIL réaffirme la non conformité de Google Analytics aux exigences européennes
Dans son article, la CNIL affirme que la simple anonymisation des IPs ne suffit pas. C’était pourtant une solution proposé par Google dans son webinaire pour rendre l’outil d’analytics conforme aux exigences du RGPD. Les données continuent d’être envoyées aux Etats-Unis et des données personnelles (tel que l’identifiant unique de chaque utilisateur) font toujours partie de ce transfert.
Le principal problème soulevé par la CNIL est « le contact direct […] entre le terminal de la personne et des serveurs gérés par Google. Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics. »
La solution pour utiliser Google Analytics en Europe: le proxy
La CNIL propose cependant une solution pour utiliser Google Analytics dans le cadre de la règlementation: la proxyfication. Ce mot un peu barbare signifie qu’un serveur intermédiaire vient retraiter la donnée récupérée sur le navigateur de l’utilisateur et pseudonymise les données personnelles (celles permettant d’être recoupées avec d’autres dans le but de reconnaître un individu). Ce serveur vient assurer qu’aucune donnée envoyée à Google Analytics ne permette de réidentifier une personne. Les données considérées comme personnelles pour le RGPD et interdites de transfert vers les États-Unis sont listées par la CNIL:
- L’IP de l’utilisateur. Une localisation large peut continuer à être transférée mais pas l’adresse IP directement.
- L’identifiant unique de l’utilisateur. Cette donnée doit être pseudonymisée et changer régulièrement.
- Le site référent de la session, c’est à dire la source de trafic.
- Les paramètres présents dans les URLs.
- Les informations pouvant participer à la génération d’une fingerprint, comme le user-agent. Celui-ci doit aussi être pseudonymisé.
- Les informations partagées entre les sites ou issus d’un CRM, comme le user-ID par exemple.
L’hébergement et le traitement de ces informations par le proxy doit bien entendu être effectué au sein de l’Europe. Voici le schéma présenté par la CNIL pour expliquer l’utilisation d’un serveur proxy:
Cette solution proposée par la CNIL est assez complexe et coûteuse à mettre en place et à maintenir. Elle rend donc quasiment impossible l’utilisation de Google Analytics en France, comme l’explique le dernier article du journaldunet.
Il semble plus logique de se tourner vers des solutions qui hébergent les données analytics en Europe. D’ailleurs, certaines bénéficient d’une exemption de consentement, telles que Piano Analytics (le nouveau nom d’AT Internet), Matomo ou Piwik Pro.
Contactez-nous si vous souhaitez être accompagné sur ces sujets!