Le 10 février 2022, la CNIL rendait une décision qui a secoué le monde du web : l’utilisation de Google Analytics en France serait non conforme au RGPD (Règlement Général sur la Protection des Données) et donc, illégal.
Il s’agit de prendre conscience que la protection des données des utilisateurs est au cœur des débats actuellement. Alors que la réglementation européenne se durcit, de nombreux géants américains tels que Facebook voient leurs activités menacées sur le continent européen.
Mais concrètement, quelles sont les conséquences de la décision de la CNIL par rapport à Google Analytics pour les utilisateurs ? Que pouvez-vous faire ?
Google Analytics est un outil d’analyse de site web fonctionnant via l’attribution d’un identifiant unique à chaque visiteur. Cet identifiant et les données personnelles afférentes sont transférés aux USA par Google.
Or, l’association NOYB, organisme de protection de la vie privée, a porté plainte contre plusieurs entreprises utilisatrices de Google Analytics afin d’obtenir l’avis de la CNIL sur ces transferts de données aux USA. La Commission Nationale de l'Informatique et des Libertés les a jugés illégaux au regard du RGPD en raison du risque d’accès à ces données par les services de renseignement américains.
Attention, les transferts de données aux USA ne sont pas, en soi, illégaux. Cependant, la décision de la CNIL concernant Google Analytics s’appuie sur la jurisprudence européenne, notamment l’arrêt Schrems II de la Cour de Justice de l'Union européenne qui invalide le Privacy Shield (texte reconnaissant que la législation américaine offrait un niveau équivalent de protection à celui du RGPD) et impose le respect de certaines conditions nouvelles. Dans ce cas précis, la commission a considéré que :
La CNIL estime donc que l’utilisation de Google Analytics, en l’état, par les gestionnaires de site web Français viole les articles 44 et suivants du RGPD.
Cette décision survient alors que Google a déjà été sanctionné par la CNIL début 2022 pour non-respect de la législation sur les cookies (loi informatique et liberté). On parle d’une sanction à hauteur de 150 millions d’euros. La CNIL avait déjà infligé une amende de 100 millions d’euros à Google, toujours au sujet des cookies, en décembre 2020.
Ces décisions montrent une véritable montée en puissance de la CNIL, presque 4 ans après l’entrée en vigueur du RGPD (mai 2018). Le RGPD est le fondement juridique autorisant les instances de régulation des États membres de l’Union européenne à sanctionner les entreprises allant à l’encontre des règles européennes en matière de protection des données personnelles.
Suite à ces différentes décisions, l'utilisation de services américains par des entreprises et organismes publics européens semble de plus en plus compromise. En 2021, la CNIL a notamment appelé à abandonner les logiciels américains tels que Zoom ou Google docs. Cette année, Mark Zuckerberg a menacé de fermer Meta (Facebook et Instagram) en Europe compte tenu des conditions imposées par le RGPD.
Dans l’attente d’une évolution du cadre juridique pouvant être longue à venir, la situation incite fortement les différentes organisations publiques comme privées, à migrer vers des solutions françaises ou européennes. Le remplacement des logiciels US par des logiciels Français semble être, actuellement, la solution la plus sûre pour échapper à la menace de sanctions.
Concernant les outils de webanalytics, il existe des alternatives à Google Analytics, plus éthiques et pleinement conformes au RGPD. Nous vous invitons à lire notre article à ce sujet : Les 3 principaux outils web analytics du marché
Quelles répercussions pour les sites directement visés par les plaintes de l’association NOYB ? Les sites épinglés par la CNIL (Decathlon, Auchan E-commerce et Sephora) disposent d'un mois pour se mettre en conformité, à savoir se tourner vers des solutions françaises ou européennes conformes au RGPD.
Pour les autres utilisateurs, la sonnette d’alarme est tirée. La décision du 10 février 2022 ne devrait pas avoir d'impact direct et automatique, puisqu’en théorie il faudrait que quelqu’un porte plainte auprès de la CNIL pour que les utilisateurs reçoivent la même mise en demeure. Cependant, les sanctions répétées des CNIL européennes concernant la gestion des cookies, combinées à cette récente mise en demeure, laissent présager que des vagues de contrôle pourraient avoir lieu sur l’ensemble des outils permettant le transfert de données personnelles aux USA. Dans cette optique, tous les gestionnaires de sites internet sont appelés à revoir leurs méthodes d'analyse et de mesure d’audience.
Allons-nous vers un aménagement de Google Analytics ? Cette fois-ci, Google n'a pas reçu de mise en demeure (contrairement aux éditeurs de site) ni écopé de sanctions. Cependant, l’outil Google Analytics est présent sur plus de 80% des sites web actuellement, et si des modifications ne sont pas faites dans le paramétrage de l’outil, les entreprises devront se résoudre à se tourner vers des solutions européennes.
Pour permettre l’utilisation de Google Analytics, l’Union Européenne et les Etats-Unis devraient conclure un accord pour l’exploitation des données. En attendant, Google Analytics propose de mettre à disposition des utilisateurs, des outils leur permettant de se mettre en conformité. Des informations sont attendues dans les prochaines semaines.
La décision de la CNIL a provoqué beaucoup de réactions chez les professionnels du web. Et à raison, car l’enjeu est important. Outre la réflexion sur les outils d’analyse des sites web, c’est aussi l'occasion de vous assurer de votre conformité au RGPD de manière générale !
Vous souhaitez remettre à plat votre méthode de reporting et changer d'outil analytics ? Nos experts peuvent vous aider à y voir plus clair !