Que faire après la décision de la CNIL avec Google Analytics ?
Pouvons-nous encore utiliser Google Analytics ? C’est la question que se posent de nombreux webmasters après la décision de la CNIL du 10 février 2022. En effet, la Commission Nationale de l’Informatique et des Libertés a jugé que Google Analytics (tel qu’il est autrement paramétré) n’est pas conforme au Règlement Général sur la Protection des Données (RGPD). Résultat : de nombreux propriétaires de sites Web recherchent désormais des solutions alternatives aux outils Google. Comme eux, vous avez peut-être installé Google Analytics pour obtenir des données de trafic, et vous vous demandez peut-être comment vous conformer au RGPD. Voici quelques indices et solutions que nous pouvons vous donner pour surveiller les données de trafic de votre contenu.
Prendre connaissance de la décision de la CNIL sur Google Analytics
Revenons aux faits. Le 10 février 2022, la CNIL a notifié aux responsables de sites la mise en conformité RGPD. Le problème est l’utilisation de Google Analytics, en particulier le transfert de données aux États-Unis.
La CNIL précise que le transfert des données des internautes vers les Etats-Unis viole ainsi l’article 44 et ci-dessous du RGPD. Dès lors, il adresse une mise en demeure à l’administrateur du site de rendre ce traitement conforme au RGPD, le cas échéant, en cessant d’utiliser la fonction Google Analytics (dans les conditions actuelles) ou en utilisant un outil n’entraînant pas de transfert hors UE. Le gestionnaire du site en question dispose d’un mois pour se mettre en conformité.En effet, même avec le consentement des internautes obtenu par l’analyse des cookies, la CNIL juge que l’outil ne peut totalement anonymiser les données.
Sous GDPR, c’est un problème parce que :
– La CNIL estime que Google n’a pas donné d’assurances suffisantes quant à la sécurité des données après leur transfert aux États-Unis.
– Google pourra connaître l’identité des visiteurs en recoupant ces données avec d’autres informations dont il dispose.
La décision de la CNIL fait suite à une action de l’ONG autrichienne NOYB, menée par l’activiste Max Schrems. En 2020, elle a engagé des poursuites contre 101 entreprises européennes qui, selon elle, ne se sont pas conformées au RGPD et à l’arrêt “Schrems II“.
En conséquence, l’autorité autrichienne de protection des données a jugé en janvier que Google Analytics avait effectivement enfreint la réglementation européenne, et la CNIL a suivi peu de temps après. Des décisions que d’autres régulateurs européens peuvent suivre.
Par conséquent, les sites concernés par ces décisions ont un mois pour se conformer et renoncer à Google Analytics.
Google Analytics et RGPD : comment réagir ?
Face à cette situation, il existe plusieurs solutions que vous pouvez utiliser pour optimiser Google Analytics pour la conformité GDPR.
Solution 1 : Attendez…
De nombreuses entreprises attendent en effet que Google se conforme au RGPD au niveau européen, tout en attendant également que les États-Unis et l’Europe s’accordent pour assouplir la loi. Cela peut arriver, par exemple, avec une entreprise européenne hébergeant des données Google Analytics en Europe.
Solution 2 : Optimisez Google Analytics
Si vous êtes à l’aise avec Google Analytics, vous pouvez également configurer Google Analytics pour le rendre plus conforme au RGPD.
Il n’existe pas encore de solution définitive pour s’assurer que Google Analytics est conforme au RGPD.
Cependant, sur la base de nos recherches, il existe plusieurs voies et hypothèses qui pourraient rendre Google Analytics plus conforme au RGPD.
Solution 3 : Choisissez une solution alternative
Pas de panique, il existe de nombreuses options en plus de Google Analytics.
Par exemple, la CNIL fournit une liste de solutions conformes au RGPD.