Le 7 juin 2022 la CNIL fait paraître 2 articles
- L'un pour expliquer quelles mesures mettre en place avec Google Analytics (GA) pour respecter la conformité avec le RGPD
- et l'autre pour nous expliquer que ces mesures peuvent se révéler coûteuses, complexes, sans garantir de répondre aux besoins opérationnels des professionnels.
Quelles sont les mesures qui ont été envisagées ?
Avant de parler des mesures acceptables et conforme au RGPD, beaucoup d'encre a coulé sur ce sujet de Google Analytics et bon nombre d'experts ont essayé de proposer des solutions, mais une fois passées dans la moulinette de la Cours de Justice de l'Union Européenne (CJUE), les bonnes idées ont été balayées par les exigences relatives à la protection des données des personnes.
Il y a eu à l'étude :
- modifications du paramétrage de l'outil GA
❌ Insuffisant pour la CJUE (hébergement aux USA et donc données accessibles selon les lois des États Unis)
- l'utilisation de clauses contractuelles types (Google propose par défaut aux utilisateurs des CCT)
❌ Insuffisant pour la CNIL
- Les propositions de Google quant à la mise en œuvre de mesures supplémentaires d’ordre juridique, organisationnel et technique
❌ jugées aussi insuffisantes
- paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne
❌ jugées non conformes car hébergement aux États unis
- Chiffrement, et bien d'autres idées
❌ Non suffisants !
Alors que reste-t-il pour être conforme ?
Une solution possible proposée par la CNIL : la proxyfication
La CNIL donne son analyse précise sur le sujet, les outils, méthodes dans l'article paru le 7 juin 2022
Le schéma ci-dessous (Source CNIL) fournit les deux cas avec le suivi de navigation possible dans un cas... et difficile ou impossible avec l'usage de la "Proxyfication".
Autre solution, ne pas utiliser Google Analytics
Dès le 23 septembre 2021, la CNIL donnait une liste de solutions de mesure d'audience. L'article liste les solutions "admises" et les recommandations de mise en œuvre.
Ces "autres" outils ne changent pas le principe. Il faut continuer à informer les personnes, faire en sorte que les traceurs soient avec une durée de vie limitée, que les informations collectées soient conservées sur une durée limitée à 25 mois maximum (examen périodique pour limiter l'usage au strict nécessaire).
Ce qu'en pense notre expert
Les dernières parutions de la CNIL nous confortent dans l'idée que le bras de fer ne fait que commencer et que personne n'est à ce stade prêt à céder. L'UE souhaite que la règle de la protection des données pour le bien des personnes soit appliquée... et les USA, de leur côté, ne souhaitent pas modifier leur façon de penser sur le fait que la donnée personnelle est une donnée analysable (analysée) et utilisable par l’État américain.
Les Responsables de traitements et autre responsables de sites internet qui ont besoin d'outil comme GA ont 2 alternatives :
- Le Responsable du site peut choisir de rester dans un cadre incertain espérant que l'UE cède un peu de terrain car pas en mesure de "sanctionner" tout le monde... mais avec la connaissance que les règles de protections des données NE SERONT PAS respectées. Le risque est qu'une mise en demeure ou une sanction tombe à un moment donné ou qu'une fuite de données génère un effet boule de neige.
- Il peut aussi se tourner progressivement vers d'autres outils qui remplissent ses critères d'analyse, en les paramétrant pour être en conformité (Matomo Analytics par exemple).
De mon point de vue, nous avons assez attendu et si je devais conseiller un client, c'est vers cette dernière solution que je l'accompagnerais.
Pourquoi ? Pas par peur des sanctions, mais parce que, si ce RGPD est fastidieux pour beaucoup, il n'en reste pas moins que son rôle est bien de nous protéger.
Donc protégeons nous !