Dans la lignée de l’autorité Autrichienne, la CNIL a émis un communiqué Jeudi 10 Février, qualifiant l’usage de Google Analytics comme non conforme au RGPD.
source: https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
La position de la CNIL :
Concrètement, la CNIL ainsi que certains de ses homologues des autres Etats membres de l’UE ont Mis en demeure certains sites ciblés par des actions de l’association de défense de la vie privée NOYB, de ne plus utiliser Google Analytics en l’état actuel.
Point de vue juridique
Pour la CNIL, les mesures prises suite à l’invalidation du Privacy Shield (sans que la CNIL ne les cite directement, on peut en déduire qu’il s’agit de la fonction de masquage IP, ainsi que la mise à disposition des clauses contractuelles types proposées en option par Google) ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains aux données. Ce qui rend le transfert non conforme au RGPD.
Concrètement, qu’est-ce qui change avec cette communication de la CNIL ?
La CNIL considère que Google Analytics, outil qui sert à collecter de la donnée analytique des comportements sur votre site, n’est pas conforme au RGPD.
A quoi servent toutes les actions RGPD que j’ai mené sur mon site internet afin d’être conforme (bandeau cookie, mentions d’informations, cases à cocher, …)
Bien que de nombreuses personnes soient encore dubitatives quant à l’intérêt de toutes les actions de mise à niveau de conformité de votre site internet. Plus de 50% de la population française y est à présent sensible. Ces éléments sont nécessaires. Ils garantissent pour votre visiteur :
– la transparence des actions que vous menez avec ses données
– son consentement au traitement des données, lorsqu’il est nécessaire
En effet, l’internaute est sollicité pour valider son consentement à la récolte et au traitement de ses données personnelles sur votre site par le biais du bandeau cookies. Cependant, la manière avec laquelle les donnée es sont traitées par Google Analytics est désormais considérée comme non RGPD compliant. Mais cette annonce ne remet tout en question. le transfert des données vers les Etats-unis à l’occasion de l’utilisation de Google Analytics.
Rappel : Si vous n’utilisez pas Google Analytics sur votre site internet, vous n’êtes pas concernés.
Quel délai pour se mettre en conformité ?
La CNIL donne 1 mois aux gestionnaires du site concerné par la mise en demeure pour ne plus utiliser Google Analytics en l’état actuel, soit le 10 mars 2022.
Point de vue juridique :
Nous relevons que cette non-conformité ne fait pas l’objet d’une sanction directe de la CNIL mais d’une mise en demeure avec un délai relativement court pour la modification ou l’arrêt du traitement.
Quelles solutions à court terme pour nous et nos clients ?
Pour la conformité de ce transfert, deux options sont envisageables :
- Google modifie google analytics pour se baser sur de la donnée totalement anonymes ou pour ne pas pouvoir accéder aux informations, y compris sur demande des autorités US
Cela éviterait à toutes les entreprises utilisatrices de Google Analytics de devoir changer sa méthodologie de travail, cependant cette option semble peu probable à court terme.
- Utiliser un autre outil d’analyse : Changer votre habitude vous permettra d’opter pour une solution exemptée de consentement et peut être même de faire disparaître de votre site, le bandeau cookies.
De plus, il est potentiellement envisageable pour vous de collecter plus d’informations relatives aux visiteurs car ce dernier n’aurait pas la possibilité de refuser le dépôt des cookies d’analyse.
Quelles sont les solutions alternatives à Google Analytics ?
Voici les solutions d’analyse conformes au RGPD, exemptées de consentement par la CNIL et hébergées dans l’UE/sur site :
- Matomo (hébergement UE / sur site possible)
- Abla (hébergement en France)
- Analytics Suite Delta de AT Internet (hébergement UE)
Que recommande ACTECIL ?
L’équipe juridique est sans appel. Si vous utilisez Google Analytics, vous n’êtes légalement plus conforme au RGPD.
La guerre entre Google et l’Union Européenne n’est pas récente. Google va certainement réagir dans les jours à venir face à cette prise de décision.
Google a tout intérêt pour des raisons économiques (la richesse de l’information récoltée et réutilisée à des fins publicitaires) à revoir sa position.
Notre société ACTECIL et notre centre de formations RGPD ACADEMY a pour projet depuis 1 mois de basculer chez MATOMO. Cette prise de décision de la CNIL ne fait qu’accélérer les choses.
Nous avons choisi MATOMO pour diverses raisons :
Points d’attention marketing :
- La plateforme Matomo (comme toutes les autres plateformes) est moins simple et moins intuitive à utiliser que Google Analytics. Mais, de toutes les alternatives, elle est la plus accessible.
- Dès lors que la bascule est opérée, la société, ancienne cliente Google Analytics et nouvelle cliente de Matomo (ou autre plateforme) perdra toute la donnée analytique qu’elle avait. Il faut recommencer à 0.
- Également, Matomo, comme chaque outil, utilise d’autres règles de comptage. Et donc des disparités pourront survenir avec les ordres de grandeur que nous constations sur le trafic et les comportements sur site via Google Analytics (à l’échelle globale du site, ainsi que levier par levier)
Point d’attention juridique de fond sur les transferts hors UE : une mise en demeure qui pourrait s’étendre à la plupart des services cloud US.
Cette mise en demeure de la CNIL a été faite en réaction face aux actions de l’association NOYB. Cependant, sur le fond, une grande partie des solutions hébergées aux Etats-Unis ou soumises au cloud act pourraient être déclarées non-conformes au RGPD.
Actuellement, une solution envisageable serait de garantir techniquement et via les clauses contractuelles types que que le prestataire américain ne dispose pas d’un moyen technique d’accéder ou de déchiffrer les données.
Pour rappel, le cloud act, peut s’appliquer même lorsque les données sont hébergées dans l’UE, si la société est soumise au droit américain, notamment en raison de ses liens financiers.
Source : https://medium.com/@Sekoia_team/cloud-act-entre-mythes-et-r%C3%A9alit%C3%A9s-21eb1371a7ab
