NEWS #Digitale : envie de recevoir nos meilleurs articles ?  Inscription → 

Google Analytics et RGPD : l’utiliser est-il vraiment illégal ?

Utiliser Google Analytics est-il désormais illégal en France ? Est-il possible de bien le paramétrer ? Quels sont les risques encourus ? Quelles sont les alternatives légales ?

L’utilisation de Google Analytics et le transfert des données de navigation vers les États-Unis est-il illégal en France ? Un récent communiqué de la CNIL nous le laisse penser. Voici quelques éléments et réponses à des questions associées à la publication de ce communiqué du 10 Février 2022.

Quels sont les faits, en bref ?

Suite à une plainte de l’association NOYB, la CNIL a mis en demeure un éditeur d’un site internet utilisant Google Analytics en estimant que le transfert des données collectées vers les États-Unis était contraire aux articles 44 et suivants du RGPD. L’éditeur en question a 1 mois pour se mettre en conformité.

Qu’a dit la CNIL à propos de Google Analytics ?

Dans son communiqué du 10 Février 2022, la CNIL n’a pas officiellement déclaré que Google Analytics était illégal en France au vu du RGPD, toutefois, l’enregistrement d’ID de sessions (qui est considéré comme une donnée personnelle par le RGPD) par l’outil et le transfert de ces données aux États-Unis est, lui, non conforme au RGPD.

Le fait que Google Analytics ne puisse à ce jour pas héberger les données en Union Européenne, qu’il ne propose pas la possibilité de ne pas créer un session ID et que les services de renseignement Américains puissent (sur demande) accéder aux données collectées, le rend donc non conforme au RGPD et donc « illégal » aux yeux de la CNIL.

À aucun moment dans son communiqué, la CNIL a déclaré que l’utilisation de Google Analytics était totalement illégal en France, mais cette décision fait office de jurisprudence.

Est-il possible de bien paramétrer Google Analytics pour être totalement conforme au RGPD ?

Au jour de la rédaction de cet article, non.

Bien qu’il existe des moyens d’anonymiser les IP, limiter la durée de rétention des données, ces configurations ne sont pas suffisantes pour être en conformité à 100%.

Est-il possible de paramétrer Google Analytics pour ne pas collecter d’ID de sessions ?

Même si la solution de web analyse de Google est « bien paramétrée », elle recueillera toujours des ID de sessions.

L’anonymisation des IP des utilisateurs, une solution pour garder Google Analytics ?

Non, ce n’est malheureusement pas suffisant.

Bien que cette fonctionnalité soit intégrée désormai nativement dans GA4 (Google Analytics 4) et configurable simplement dans le script de tracking de la version Universal Analytics de la solution de web analyse, l’hébergement des sessions ID hors d’europe avec un accès possible à ces données par les agences de renseignement américaines reste contraire au RGPD.

Quel est le risque de continuer à utiliser Google Analytics ? Une mise en demeure ? Une amende ? Les deux ?

À ce jour, aucune sanction financière n’a été communiquée par la CNIL mais en continuant d’utiliser cette solution, chaque propriétaire de site internet s’expose aujourd’hui à une mise en demeure de la CNIL lui laissant un délai d’un mois pour se mettre en conformité.

Si aucune sanction financière n’a été communiquée à date sur ce cas, le non-respect de la collecte du consentement pour le dépôt de cookies est lui sanctionné à hauteur de 2% su CA annuel de la société mise en demeure. Il n’est pas exclu que cette même sanction soit prochainement appliquée aux entreprises ne respectant pas le RGPD avec leur logiciel de mesure d’audience…

Quelles alternatives à Google Analytics utiliser pour suivre son audience en accord avec le RGPD ?

Les meilleures alternatives à Google Analytics auditée et validée par la CNIL sont :

  • Analytics Suite Delta de AT Internet
  • Matomo Analytics de Matomo
  • Eulerian de Eulerian Technologies

Attention toutefois, ces alternatives doivent être correctement paramétrées (en suivant les guides d’installation référencés sur la CNIL) pour qu’elles soient 100% conformes avec le RGPD, il est fortement recommandé de faire installer ces solutions par des experts en web analytics qui ont l’habitude de cette problématique.

S’il existe d’autres alternatives plus ou moins reconnues, nous te recommandons vivement d’utiliser des services installés sur des millions de sites web, ces derniers seront plus fiables et mieux maintenus dans le temps, ils seront également généralement plus réactifs pour le déploiement de patchs en cas de faille de sécurité.

Quelles alternatives à Google Analytics choisir pour obtenir de statistiques basiques sans besoin du consentement de l’internaute ?

Ces 5 solutions permettent à n’importe quel éditeur de site web d’obtenir des données simples sur l’utilisation de son site web sans déposer le moindre cookie sur l’ordinateur de l’internaute :

Ces outils ne nécessitent donc pas l’utilisation d’un bandeau de consentement aux cookies.

Google Analytics va-t-il proposer un moyen d’utiliser son outil tout en étant conforme au RGPD ?

Dans un récent communiqué, la société Américaine a indiqué travailler sur la question. Plus de détails seront partagés dans les prochaines semaines mais à ce jour, rien n’est fait ni paramétrable pour être en totale conformité avec le RGPD (même si l’anonymisation de l’IP est configurée, le délai de stockage des données, …).

« Nous nous efforçons d’ajouter des contrôles supplémentaires qui permettront aux clients de personnaliser davantage les données d’analyse qu’ils collectent, leur permettant ainsi de continuer à utiliser Google Analytics d’une manière conforme à leurs objectifs de conformité. Nous prévoyons de partager plus de détails dans les semaines à venir. »

Google Analytics

Disclaimer : cet article a été rédigé à titre d’information uniquement, des analyses plus poussées avec des avocats et juristes spécialisés sont fortement recommandées pour être sûr de prendre la bonne décision et ne pas risquer de sanction financière (à terme) pour non-respect du RGPD.

4.9/5 - (10 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.