Google Analytics, RGPD et CNIL : Voici la Seule Solution pour Être en Conformité !

Après avoir confirmé la non-conformité de Google Analytics vis-à-vis du RGPD, la CNIL a proposé une seule solution pour rendre l’outil conforme !

Dans deux articles de la CNIL publiés sur son site officiel, la Commission Nationale de l’Informatique et des Libertés a tranché : l’utilisation de Google Analytics ne peut être conforme au RGPD qu’en utilisant une méthode (complexe) de proxyfication. Qu’est-ce que c’est ? Comment cela fonctionne ?

Pourquoi Google Analytics est-il considéré par la CNIL comme non conforme au RGPD ?

Plusieurs raisons sont évoquées par la CNIL, voici les deux principales :

  1. L’hébergement des données collectées hors de l’UE : Le principal problème de conformité de Google Analytics avec le RGPD vient de l’hébergement des données sur des serveurs Américains auxquels les services de renseignements et autorités des États-Unis peuvent avoir accès sur simple demande auprès de toute entreprise disposant de son siège social sur le territoire national.
  2. Des mesures de pseudonymisation et d’anonymisation incomplètes : le second problème vient de la non-anonymisation totale des données collectées via Google Analytics, même si une fonction d’anonymisation des adresses IP est proposée par le logiciel, tous les transferts ne sont pas concernés. La CNIL n’a également pas eu la preuve que l’anonymisation, lorsqu’elle était paramétrée, avait lieu avant le transfert de la donnée aux États-Unis.

La poxyfication : la seule « solution » envisageable pour rendre Google Analytics conforme au RGPD selon la CNIL ?

Oui. La CNIL l’a confirmé dans une session de questions/réponses, il n’est à ce jour pas possible de configurer Google Analytics pour que les données ne soient pas hébergées dans des serveurs situés hors des États-Unis.

Par ailleurs, même en l’absence de transfert de données, le simple fait qu’il s’agisse d’une solution de web analyse extra-européenne implique que des autorités de pays tiers pourraient demander l’accès aux données, même si ces dernières seraient hébergées sur des serveurs situés dans l’Union Européenne.

La proxyfication est donc la seule solution proposée par la CNIL pour pouvoir utiliser Google Analytics en conformité avec le RGPD.

La proxyfication : qu’est-ce que c’est et comment cela fonctionne ?

proxification cnil google analytics
Explication du fonctionnement de la proxyfication par la CNIL

La proxyfication consiste à utiliser un serveur mandataire pour éviter tout contact direct entre l’appareil de l’internaute et les serveurs de l’outil de web analyse Google Analytics.

Concrètement, la proxyfication, si elle est bien paramétrée, agira comme une étape de pseudonymisation des données avant export vers les serveurs de Google.

Pour que le paramétrage soit totalement conforme, l’ensemble des informations transmises sur les serveurs de Google Analytics ne doivent en aucun cas permettre la réidentification d’une personne, quel que soit le recoupage d’informations opéré.

La proxyfication doit suivre des mesures précises pour être conforme au RGPD selon la CNIL

Voici les différentes mesures présentées par la CNIL comme nécessaires pour que la proxyfication soit considérée comme conforme au RGPD :

  • l’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure. Si une localisation est transmise vers les serveurs de l’outil de mesure, celle-ci doit être opérée par le serveur proxy et le niveau de précision doit permettre de s’assurer que cette information ne permet pas une réidentification de la personne (par exemple en utilisant un maillage géographique assurant d’un nombre minimum d’internautes par cellule) ;
  • le remplacement de l’identifiant utilisateur par le serveur de proxyfication. Pour assurer une pseudonymisation effective, l’algorithme effectuant le remplacement devrait assurer un niveau de collision suffisant (c’est-à-dire une probabilité suffisante que deux identifiants différents donnent un résultat identique après hashage) et comporter une composante temporelle variable (ajouter à la donnée hashée une valeur qui évolue avec le temps pour que le résultat du hashage ne soit pas toujours le même pour un même identifiant) ;
  • la suppression de l’information de site référent (ou « referer ») externe au site ;
  • la suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) ;
  • le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), tels que les « user-agent », pour supprimer les configurations les plus rares pouvant mener à une réidentification ;
  • l’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, unique ID) ;
  • la suppression de toute autre donnée pouvant mener à une réidentification.

Quelles autres alternatives ?

Si cette proxyfication ne peut être envisageable dans votre infrastructure, la seule alternative envisageable pour être en conformité avec le RGPD sera de changer de solution de web analyse pour un outil disposant d’options de paramétrage conformes au RGPD.

Il existe à ce jour un certain nombre d’alternatives à Google Analytics qui peuvent même être, dans certains cas, exemptés de collecte de consentement pour recueillir des données de trafic simples et anonymes.

Voici une sélection des deux solutions pertinentes :

Pour aller plus loin, nous vous recommandons vivement la lecture des deux articles publiés par la CNIL à ce sujet :

4.5/5 - (2 votes)

2 Replies to “Google Analytics, RGPD et CNIL : Voici la Seule Solution pour Être en Conformité !”

  • Frédéric a dit :

    Bonjour ,

    Merci pour cet article très intéressant.
    Du coup, cela veut dire également que Google ads est concerné et que les entreprises vont devoir trouver d’autres solutions pour leur campagnes de marketing sur le web ?

    • Vincent Brossas a dit :

      Bonjour,
      Dans la logique, je dirais que « Oui » même si la CNIL n’a pas encore communiqué officiellement sur le sujet.
      Dans la pratique, étant donné la position dominante de Google Ads (malgré l’alternative Bing Ads), je ne vois pas trop comment la CNIL va pouvoir imposer cela…
      Pour les solutions de web analyse, c’est « plus simple » car il existe déjà un nombre relativement important d’alternatives conformes pouvant remplacer Google Analytics.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.