Article CNIL vs. GAnalytics

08
08 2022

  .  Par Maxime BUREAU

La CNIL persiste et signe : Un site internet ayant recours à GOOGLE ANALYTICS ne peut (quasiment) pas être conforme au RGPD !

Conséquence directe de l’invalidation du Privacy Shield par l’Arrêt « SCHREMS II » de la CJUE (cf. Article Avoconseil du 17/07/2020), la CNIL semble lancée dans une guerre indirecte contre l’outil de mesure d’audience du Géant américain GOOGLE. Depuis février 2022, un certain nombre de propriétaires de sites internet utilisant Google Analytics se sont vus mis en demeure par l’autorité de contrôle française. En juin 2022, elle confirme sa position en défaveur de l’outil américain dans une Foire aux Questions dédiée au sujet.

Des transferts illégaux de données à caractère personnel vers les États-Unis

Cette campagne offensive de la CNIL est bien évidemment motivée juridiquement et trouve son fondement au sein du fameux Règlement Général sur la Protection des Données (dit « RGPD »). La simple utilisation de l’outil édité par GOOGLE implique des transferts illégaux de données à caractère personnel vers les États-Unis. En effet, l’ensemble des données générées par Google Analytics, dont notamment les adresses IP des utilisateurs ciblés (qui, pour rappel, sont considérées comme des données à caractère personnel), sont transférées et stockées sur des serveurs appartenant à GOOGLE INC., localisés aux États-Unis. Ce seul constat suffit à susciter un blocage pour l’autorité de contrôle puisque toute donnée présente sur le territoire des États-Unis – ou même, plus largement, détenue par une société capitalisant aux États-Unis – est soumise au pouvoir de contrôle discrétionnaire des autorités locales et notamment des services de renseignement. Cela est en totale contradiction avec les principes européens de protection des données dictés par le RGPD (et notamment l’article 48 du RGPD). Si auparavant un accord-cadre international (le « Privacy Shield ») autorisait les flux des données transatlantiques, ce dernier a été invalidé par la Cour de Justice de l’UE en juillet 2020, pour les raisons qui viennent justement d’être évoquées.

C’est donc un petit séisme qui secoue le secteur de l’édition web lorsque l’on sait qu’en 2022 un peu plus de 50% des sites web dans le monde sont équipés de Google Analytics, soit près de 85% des parts du marché de l’analytique web. Aujourd’hui, de nombreuses TPE/PME françaises utilisent quotidiennement les services gratuits de l’outil américain. Cela accroit davantage encore l’impact de cette décision prise par la CNIL, plaçant ainsi toutes ces sociétés dans une situation d’illégalité du fait de leur choix de sous-traitant (conformément à l’alinéa 1 de l’article 28 du RGPD). Toutes les sociétés mises en demeure par la CNIL ont alors eu un délai – restreint – d’un mois pour trouver une solution conforme.

Par ailleurs, la CNIL n’est pas seule à intervenir en ce sens, elle agit de concert avec l’ensemble des autorités de contrôle européennes.

GOOGLE peine à présenter des mesures correctives satisfaisantes aux autorités de contrôle européennes

A l’instar de ses précédentes réactions face aux sanctions venues d’Europe, le Géant du web a rapidement cherché des mesures visant à se conformer aux lois européennes. Toutefois, il semble ne pas y parvenir aussi facilement qu’à l’accoutumée, se heurtant toujours à l’invalidation du Privacy Shield et au jugement bien tranché de l’arrêt « SCHREMS II » sur le manque de garanties offertes aux ressortissants européens face à l’ingérence des autorités américaines sur leurs données.

Jusqu’à présent, toutes les propositions formulées par GOOGLE ont été balayées par les autorités de contrôle européennes. En voici un rapide aperçu :

1- Les clauses contractuelles types conclues par défaut entre Google et ses utilisateurs ? Non, cette solution juridique ne peut, à elle seule, suffire à assurer un niveau de protection adéquat pour les données transférées. Même si elles constituent une solution prévue à l’article 46c. du RGPD  (cf. article Avoconseil du 15/06/2021), les clauses types de la Commission Européenne ne suffisent pas pour autant à contrer des lois de pays tiers qui prévoiraient des obligations de divulgation auprès d’autorités locales, comme notamment aux États-Unis.  

Lorsque la confidentialité ne peut pas être assurée par les clauses types, comme dans le cas présent, l’importateur et l’exportateur de données doivent alors prévoir des mesures supplémentaires pour garantir un niveau de protection équivalent à celui prévu par l’UE.  Ils doivent également s’assurer que la législation du pays d’importation n’empiétera pas sur ces mesures supplémentaires, de manière à les priver d’effectivité. C’est ce qu’a alors tenté de faire Google, sans succès, puisque la CNIL déclare : « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens. »

2- Les fonctionnalités de paramètrage offertes par Google Analytics aux éditeurs de sites internet ? Non, celles-ci ne sont également pas suffisantes. Depuis sa version 3, Google Analytics permet aux éditeurs de sites internet de paramétrer l’outil de sorte que, notamment, les deux derniers octets de l’adresse IP soient supprimés. Cette manipulation permet ainsi de limiter fortement les possibilités de réidentification de l’utilisateur. Néanmoins, si cette mesure a le mérite d’exister, elle comporte deux limites rédhibitoires pour la CNIL. Premièrement, elle n’évite pas une éventuelle réidentification par croisement avec les autres données collectées par l’outil – voire par les autres outils de webmarketing estampillés GOOGLE INC. De plus, la CNIL rappelle que l’opération d’« anonymisation »  sur les octets de l’adresse IP n’intervient qu’une fois la donnée collectée et transférée, ce qui ne solutionne donc en rien la problématique de transfert illégal de données vers les États-Unis.

3- Les opérations de chiffrements des données proposées par GOOGLE ? Non plus, elles sont internes et donc insuffisantes puisque structurellement mises en œuvre par la société américaine elle-même. GOOGLE reste ainsi en possession de la clé de déchiffrement et peut à tout moment être contrainte légalement, par les autorités américaines, de fournir un accès à ses serveurs. Retour à la case départ, le problème d’ingérence non-autorisée par le droit européen est donc toujours présent.

4- L’hébergement des données de GOOGLE ANALYTICS au sein de l’Union européenne ? Et non car dès lors que Google est une société capitalisant aux États-Unis, la simple délocalisation de ses serveurs n’empêche pas techniquement que l’outil collecte des données de ressortissants européens et que celles-ci soient ensuite « captées » par les autorités de renseignement américaines. En d’autres termes, GOOGLE ne doit en aucun cas collecter des données à caractère personnel, même au sein de l’UE, puisque la société sera toujours contrainte de les transférer ou de les divulguer aux autorités américaines.

5- Le consentement exprès des utilisateurs ? Toujours pas, d’après la CNIL cela ne présente pas une solution pérenne et généralisable. Si l’article 49a. du RGPD prévoit le consentement de la personne concernée comme mesure d’exception à un transfert international de données, la CNIL rappelle bien que cette mesure ne peut pas pour autant être systématique et généralisée à l’ensemble des utilisateurs d’un site. L’exception ne doit pas devenir la règle.

Conclusion ? Tant que GOOGLE sera à l’origine de la collecte des données et/ou disposera sur ses serveurs de données à caractère personnel de ressortissants européens, l’entreprise ayant recourt à ses services contreviendra aux exigences du RGPD.

 

Que faire alors ? A l’heure actuelle, seulement deux solutions sont recommandées par la CNIL

Quoi qu’il advienne, le constat est assez simple : en l’état actuel des choses, les propriétaires de sites utilisant Google Analytics devront réfléchir à une solution de repli s’ils ne veulent pas se risquer à des sanctions de l’autorité administrative française.

A date, la CNIL identifie seulement deux options possibles :

  1. Conserver l’outil Google Analytics et lui transférer des données qui auront préalablement été anonymisées via un outil intermédiaire (Proxy).
  2. Changer d’outil de mesure d’audience pour un outil conforme aux exigences du RGPD (en suivant les recommandations de configuration de la CNIL).

Attention, « Attendre sagement une nouvelle parade technique de GOOGLE » ou « attendre que la Commission européenne et le gouvernement américain trouvent un accord relatif aux flux de données transatlantiques » ne font évidemment pas partie des options CNIL Compatibles.

 

Solution n°1 – La « PROXYFICATION », un choix difficilement accessible et risqué

Comme il a été vu précédemment, les paramètres d’anonymisation proposés directement au sein de l’outil Google ne sont pas pertinents. Cette défaillance peut néanmoins être palliée par l’éditeur d’un site internet en utilisant un outil d’anonymisation intermédiaire. Pour cela, il est nécessaire que les données des utilisateurs du site transitent par un serveur intermédiaire sur lequel elles seront directement anonymisées (ou plutôt « pseudonymisée »). C’est le rôle du serveur dit mandataire, aussi appelé « serveur Proxy ». Ce proxy viendra s’intercaler entre le site internet et l’outil de mesure d’audience (cf.  Schéma n°1 ci-dessous).

L’idée de ce montage est d’empêcher les services de renseignement américains d’identifier des utilisateurs de sites utilisant Google Analytics en transformant les données envoyées à GOOGLE. Si cela peut paraître assez simple, à première vue, cette « proxyfication » devra évidemment respecter un certain nombre de conditions pour garantir une réelle protection des données et ainsi être valable.

L’objectif de la manœuvre étant de limiter le transfert de données à caractère personnel (comportant un caractère identifiant), la CNIL exige que le serveur Proxy :

  1. Soit hébergé au sein de l’UE ou, à défaut, dans des conditions garantissant la protection des données traitées selon l’ensemble des principes du RGPD ;
  2. Présente des mesures de sécurité organisationnelles et techniques de sorte à garantir la protection des données qu’il contient ;
  3. Ne transfère pas l’adresse IP de l’internaute concerné vers les serveurs de l’outil de mesure d’audience ;
  4. Ne transfère pas de localisation (via IP) suffisamment précise pour permettre une réidentification de la personne concernée (maillage géographique suffisamment large, en tenant compte de la densité d’internautes par cellule de maillage) ;
  5. Ne transfère pas les identifiants inter-sites (cross-site) ou déterministes (CRM, unique ID) ;
  6. Remplace l’identifiant utilisateur par un système de pseudonymisation propre au Proxy et suffisamment pertinent (cf. recommandations CNIL) ;
  7. Supprime les informations de sites référents externes au site(referer) ;
  8. Supprime tout paramètre contenu dans les URL collectées (UTM, routage interne etc.) ;
  9. Supprime toutes informations de configuration des générateurs d’empreinte (fingerprint) permettant une éventuelle réidentification de la personne ;
  10. De manière générale, supprime ou ne transfère pas toute donnée pouvant mener à une réidentification de la personne concernée.

Il s’agit donc d’une mise en place relativement technique et coûteuse pour les éditeurs de sites, en comparaison avec la simple intégration, en quelques clics, de l’outil Google Analytics. Ce seul constat suffit à fragiliser la viabilité et l’universalité de cette solution. Surtout que la Proxyfication n’est pas exempte de risques dès lors qu’elle serait mal établie et présenterait des défauts de sécurité (cf. condition n°2), le remède devenant pire que le mal.

De plus, les entreprises souhaitant exploiter au maximum les services analytiques de GOOGLE n’y trouveront plus leur compte puisque le retrait de certaines données du circuit d’analyse limitera évidemment la portée et l’intérêt des rapports d’audience restitués par l’outil. La suppression des informations sur l’origine du trafic ou la suppression du lien avec tout autre service de chez GOOGLE rendront l’outil de mesure d’audience très primaire, au point d’en faire un simple compteur de visites. Cette solution ne peut donc clairement pas convenir à tout le monde.

En revanche, certains métiers du web peuvent trouver un rôle prépondérant à jouer dans cette mutation en cours. Ce sont notamment les webmasters, les plateformes de création de sites, les développeurs ou prestataires de création de sites internet. Ils constitueraient une réponse intéressante aux écueils susvisés puisqu’ils disposent davantage des compétences techniques pour mettre en pratique cette solution et ils peuvent mutualiser les coûts d’infrastructure entre leurs différents clients de type TPE/PME.

Sinon l’autre solution présentée – et même encouragée – par la CNIL, est d’abandonner l’outil GOOGLE au profit d’un outil concurrent conforme aux textes européens en matière de protection des données. Là encore, les métiers de la création web doivent participer à cet effort de mutation.

 

Solution n°2 – Changer d’outil de mesure d’audience, le choix de raison

La CNIL recommande, en cas d’incompatibilité avec la solution n°1 – ou de recherche d’une solution plus pérenne –, de changer d’outil de mesure d’audience au profit d’un outil conforme aux exigences légales européennes. Si, à la lecture de ce qui précède, elle apparait bien comme une évidence, cette solution n’en reste pas moins radicale et sujette à bouleversements pour les éditeurs de sites habitués à l’outil américain. C’est d’ailleurs pour cela que la CNIL ne les laisse pas démunis et publie des recommandations sur les outils de remplacement pouvant être choisis.

La CNIL a lancé depuis mars 2021 un programme dédié à l’analyse de l’ensemble des offres alternatives à Google Analytics en matière de mesure d’audience. Ce programme semble primordial aujourd’hui. Il est en effet important de rappeler que si Google Analytics présente des inconvénients indéniables en matière de confidentialité des données, il n’en reste pas moins un outil extrêmement fiable sur le plan de la sécurité informatique, là où certains outils peinent malheureusement à suivre. S’ils ne sont pas bien conçus ou pas régulièrement mis à jour par les éditeurs de sites web, les outils de mesures d’audience peuvent rapidement devenir des failles de sécurité béantes pour les sites internet concernés. Il s’agit, là encore, d’un cas où le remède deviendrait rapidement pire que le mal en question. Il est donc essentiel que la CNIL remplisse activement son rôle de conseiller et vienne éclairer les propriétaires de sites web face à la multitude d’offres alternatives qui sont aujourd’hui proposées.

Enfin, la CNIL recommande ces outils alternatifs à condition qu’ils soient correctement configurés. Mieux encore, les configurations proposées par la CNIL permettent d’exempter l’intégration de cookies par ces outils d’un consentement explicite des internautes utilisant le site (rendant ainsi la mesure d’audience plus exhaustive). Pour en savoir plus sur les cookies exemptés de consentement, vous pouvez consulter cet article de la CNIL de mars 2021. Néanmoins, il y aura parfois un choix à faire entre l’exemption de consentement et performances…  

Pour y voir plus clair sur les différentes offres, nous vous proposons ci-après un tableau reprenant l’ensemble des solutions de mesure d’audience recommandées, à date, par la CNIL :

Nom de l’outil Éditeur Version recommandée Guide de configuration CNIL pour exemption de consentement
Abla Analytics ASTRA PORTA Version 1.9 et suivantes Guide CNIL
 Matomo Analytics MATOMO Version 4.0 et suivantes Guide CNIL
SmartProfile NET SOLUTION PARTNER Version 21.0 et suivantes Guide CNIL
Piwik Pro Analytics PIWIK PRO Version 15.2 et suivantes Guide CNIL
TrustCommander COMMANDERS ACT Version TRUST 2.0 et suivantes Guide CNIL
Beyable Analytics BEYABLE Version 1.0 et suivantes Guide CNIL
Wysistat Business WYSISTAT Version 12.1 et suivantes Guide CNIL
Analytics Suite Delta AT INTERNET Version du 30/03/2021 et suivantes Guide CNIL
eTracker Analytics ETRACKER Version du 04/08/2021 et suivantes Guide CNIL
Retency Web Audience RETENCY Version 1.0 et suivantes Guide CNIL
Nonli NONLI Version 2.0 et suivantes Guide CNIL
CS Digital CONTENTSQUARE Version 10.0 et suivantes Guide CNIL
Wizali WIZALI SAS Version 12.0 et suivantes Guide CNIL
Compass MARFEEL SOLUTIONS Version 1.0 et suivantes Guide CNIL
Statshop WEB2ROI Version 1.8 et suivantes Guide CNIL
Eulerian EULERIAN TECHNOLOGIES Version 6.0 et suivantes Guide CNIL
Thank You Marketing Analytics THANK YOU Version 2.0 et suivantes Guide CNIL
eStat Streaming MEDIAMETRIE Version 7.2.2 et suivantes Guide CNIL

 

//   Vous l’avez peut-être déjà remarqué, pour son site internet, AVOCONSEIL a fait le choix de recourir aux services de l’outil libre de droit MATOMO. Ce choix a été principalement motivé par :

  • Sa bonne protection des données (évidemment !) ;
  • Sa notoriété et son ancienneté (l’un des premiers à être recommandé par la CNIL) ;
  • Sa gratuité (comme Google Analytics)
  • Sa structure Open Source;
  • Son option d’auto-hébergement ;
  • Sa facilité de prise en main, notamment pour les habitués de Google Analytics ;
  • Ses performances ;
  • Sa compatibilité avec les historiques d’audience Google Analytics et son option d’importation des données depuis l’outil Google.  

 

Et après ?

Petit à petit la CNIL et ses homologues européennes adoptent une position défavorable à l’ensemble des GAFAM, flirtant parfois avec des idées – plus politiques – de « souverainisme numérique ». Vent debout contre l’ingérence des autorités de surveillance américaines sur les données de ressortissants européens, elles sont dès lors parfaitement décidées à réduire l’influence des GAFAM sur le paysage numérique européen, tout du moins tant que la situation d’ingérence perdurera.

Par le passé, la CNIL avait déjà adopté une position similaire concernant l’hébergement des données de santé par des opérateurs états-uniens. Elle avait notamment critiqué, à travers un mémoire transmis au Conseil d’État le 8 octobre 2020, le choix du gouvernement français de titulariser Microsoft Azure sur l’hébergement du Health Data Hub (cf. Article Avoconseil du 13/10/2020). Dans ce cas précis, des garanties ad hoc suffisantes avaient finalement pu être prises par l’État français, au travers d’un accord contractuel actant notamment une exclusion des serveurs concernés du champ d’application des fameuses lois de surveillance américaines.

Il y a finalement une guerre de front (et non plus « indirecte ») qui semble être menée par les autorités de contrôle contre les GAFAM. Ce sont aujourd’hui les éditeurs de sites web utilisant Google Analytics qui sont ciblés mais demain cela pourra très bien être les utilisateurs de la messagerie Microsoft Outlook, les utilisateurs des services d’hébergement AWS etc. En Irlande, c’est tout un dossier META (Facebook, Instagram, WhatsApp, etc.) qui est en train d’être monté pour « assagir » le leader du réseau social.

Les débats sont donc loin d’être résolus et les autorités européennes délitent pierre après pierre le bastion pourtant bien construit des Géant du web américains. Cette position Anti-GAFAM laisse à penser que le juridique et le politique sont toujours intimement liés. Et cela est d’autant plus vrai lorsque l’on sait qu’en parallèle, une course contre la montre est littéralement lancée pour trouver un nouvel accord-cadre couvrant les transferts de données entre l’UE et les US (cf. Annonces du 25 mars 2022 entre la Commission Européenne et le Gouvernement des États-Unis). Pour ce faire, cet accord devra notamment comprendre de nouvelles garanties pour les ressortissants de l’UE face aux ingérences des services de renseignement américains. Affaire à suivre.

A l’inverse, si un tel accord ne voyait pas le jour rapidement, les décisions à l’encontre des sociétés utilisatrices de produits étasuniens pourraient fleurir et s’intensifier dans les mois à venir, plaçant ainsi une épée de Damoclès au-dessus de la tête des GAFAM et de leurs utilisateurs…

 

Le cabinet AVOCONSEIL et son Département spécialisé en droit du numérique sont à votre service pour vous accompagner dans la mise en conformité de votre(s) site(s) web et, notamment, de votre outil de mesure d’audience.

 

Newsletter

Vous souhaitez recevoir notre newsletter

Avoconseil