Les éditeurs face à l’illégalité de Google Analytics à cause de Google

Suite à l’invalidation du Privacy Shield par la CJUE le 16/07/2020 et grâce à l’association NOYB et son fondateur Max Schrems, la CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics en raison du transfert de données vers les États-Unis contraire au RGPD.

 

A cause de Google qui ne pouvait ignorer l’illégalité de Google Analytics et de son refus d’héberger et traiter les données sur le territoire européen pour des raisons soit économiques soit obscures, les organismes mis en demeure disposent d’un délai d’un mois pour se mettre en conformité et justifier cette conformité auprès de la CNIL. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité.

Google avait cru pouvoir à nouveau contourner l’interdiction de transfert des données aux US par des mesures de pseudonymisation et non d’anonymisation. La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). L’anonymisation consiste à utiliser un ensemble de techniques de manière à rendre impossible toute identification de la personne par quelque moyen que ce soit et de manière irréversible. Or, Google propose une fonction d’anonymisation des adresses IP sans garantir que cette anonymisation a lieu avant le transfert aux US. Par ailleurs, l’utilisation d’identifiants uniques peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Même la mise en place de chiffrement de données par Google s’est avérée une mesure technique insuffisante car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès au gouvernement US, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles.

La question est alors d’identifier les paramétrages et mesures techniques pouvant permettre de continuer à utiliser Google Analytics tout en respectant la vie privée des internautes, ce qui suppose de régler la problématique du contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. Ces requêtes permettent aux serveurs de Google d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Une solution possible est celle de l’utilisation d’un serveur mandataire (proxy) pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure (proxyfication). Mais les conditions d’hébergement du proxy doivent également être adéquates et le serveur proxy devra donc être hébergé dans des conditions permettant de garantir que les données qu’il sera amené à traiter ne seront pas transférées hors de l’UE vers un pays n’assurant pas un niveau de protection équivalent.

 

La question fondamentale est donc de comprendre pourquoi Google refuse d’héberger et de traiter les données personnelles européennes en Europe.

 

 

Télécharger (PDF, 411KB)

 

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics

 

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite