Google Analytics est-il interdit en France ?

Cela fait plus d’un an que l’outil Google Analytics a été explicitement interdit en France par la CNIL, même soumis à consentement, à cause de son non-respect du RGPD. Cependant, depuis la déclaration, en juillet 2023, de la Commission européenne, le transfert des données personnelles depuis l'UE vers les États-Unis peut dorénavant s'effectuer librement.

Mais alors, est-ce qu’il est de nouveau possible d’utiliser Google Analytics en France ? Est-ce que cette nouvelle réglementation va protéger nos données personnelles tout en encadrant leurs transferts vers les États-Unis ?

Revenons en arrière pour mieux comprendre cette nouvelle réglementation et ce que cela va entraîner pour nos données personnelles.

Retour sur les dernières actualités

6 octobre 2015 : invalidation du Safe Harbor

Le 6 octobre 2015 marque un tournant majeur dans le domaine du traitement des données personnelles. La Cour de Justice de l'Union Européenne (CJUE), par son arrêt, a invalidé le Safe Harbor.

Cet accord, adopté en 2000 par la Commission européenne, déclarait que les transferts de données personnelles des pays membres de l’Union européenne vers les États-Unis étaient possibles, car le pays américain présentait des garanties suffisantes en matière de protection de la vie privée.

Cependant, suite aux révélations d’Edward Snowden sur les programmes de surveillance des autorités américaines et aux déclarations des opposants du Safe Harbor, tel que l’autrichien Max Schrems, le CJUE a estimé que cet accord n’était pas conforme au droit européen, ni en adéquation avec les droits des citoyens européens.

25 mai 2018 : entrée en application du RGPD

Le 27 avril 2016, la Commission européenne a franchi une étape cruciale dans la protection des données en adoptant le Règlement Général sur la Protection des Données (RGPD). Ce règlement a pour but d'assurer la protection des données personnelles des citoyens européens et de réguler leur traitement.

Entré en vigueur le 25 mai 2018, le RGPD a créé un nouvel environnement juridique pour les acteurs du numérique. Pour Google Analytics, l'incorporation de ces régulations a été complexe.

• Le RGPD exige l'obtention du consentement des utilisateurs avant toute collecte de données, ce qui a nécessité une refonte des messages de consentement.
• Les responsables de traitement des données, comme Google Analytics, sont tenus de fournir aux utilisateurs une possibilité d'accès, de rectification et d'effacement de leurs données.
• Enfin, le RGPD a renforcé les sanctions en cas de non-conformité, avec des amendes pouvant aller jusqu'à 4% du chiffre d'affaires mondial annuel de l'entreprise.

Ces nouvelles obligations ont contraint Google Analytics à revoir son approche en matière de protection des données.

16 juillet 2020 : invalidation du Privacy Shield

Le 16 juillet 2020, la CJUE a invalidé le Privacy Shield. Cet accord, successeur du Safe Harbor, encadrait lui aussi les transferts de données entre l'Union Européenne et les États-Unis. Tout comme son prédécesseur, il a été remis en question en raison des préoccupations concernant la protection des données personnelles des citoyens européens.

La CJUE a invalidé cet accord à travers l'arrêt "Schrems II", du nom de l'activiste autrichien pour la protection des données, Max Schrems. Cette décision a eu des conséquences majeures, notamment pour les services, tels que Google Analytics, qui transfèrent des données vers les États-Unis.

• Suite à cette invalidation, les transferts de données vers les États-Unis exigent désormais des garanties supplémentaires pour être considérés comme légaux.
• Par conséquent, les entreprises doivent mettre en œuvre des mesures supplémentaires pour assurer la protection de ces données.
• Cet arrêt a également entraîné une série de plaintes déposées par l'association NOYB ("None of Your Business") à travers l'UE, ciblant notamment les sites utilisant Google Analytics.

10 février 2022 : Google Analytics est déclaré illégal en France par la CNIL

La CNIL (Commission Nationale de l'Informatique et des Libertés) a déclaré Google Analytics illégale en France le 10 février 2022. Cette décision a été motivée par le non-respect, de l’outil Web Analytics, au RGPD (Règlement Général sur la Protection des Données).

Google Analytics aurait, d’après la CNIL, violé l’article 44 en transférant illégalement les données des internautes vers les États-Unis. Cette décision faisait suite à celle de la CNIL autrichienne un mois plus tôt.

La CNIL a donc mis en demeure un gestionnaire de site web français de se conformer au RGPD et de suspendre son utilisation de Google Analytics. Cette décision a marqué une étape importante dans le débat sur la conformité de Google Analytics avec les réglementations européennes en matière de protection des données.

Mettre en place une méthode de proxyfication pour utiliser Google Analytics

Jugé non conforme avec le RGPD par la CNIL, à cause de la non-anonymisation des données collectées et de l'hébergement des données sur des serveurs américain, Google Analytics peut continuer à être utilisé grâce à la mise en place de la proxyfication.

Cette méthode consiste à remplacer l'adresse IP de l'utilisateur et les autres données sensibles par le serveur proxy avant que les données ne soient envoyées aux serveurs de Google. Ainsi, cela évite un potentiel traitement de données illégales du côté des serveurs de Google Analytics.

Cela implique une modification de l'architecture de collecte de données, passant d'un suivi côté client à un suivi côté serveur. Avec cette approche, les données de suivi sont envoyées directement depuis le serveur Web du site vers Google Analytics, plutôt que d'être collectées sur le navigateur des visiteurs.

Voici quelques étapes clés de la mise en place d'une méthode de proxyfication :

• Configurer un serveur proxy pour intercepter les requêtes Google Analytics.
• Anonymiser les données sensibles avant leur envoi à Google Analytics.
• Assurer la conformité avec le RGPD en respectant les principes de minimisation des données et de limitation de la conservation des données.

Cette méthode n'est pas sans défis, notamment en termes de qualité des données et de complexité technique. Il est recommandé de faire appel à un expert en matière de conformité RGPD et de Web Analytics pour mettre en œuvre cette solution.

Quelle alternative à Google Analytics ?

Face à la décision de la CNIL, il est essentiel de se tourner vers des alternatives qui garantissent une collecte et un traitement des données respectant les normes européennes. La CNIL a par ailleurs fourni une liste d’outils exempts de consentements. Dans cette liste, il est également possible de retrouver un guide pour chaque outil Web Analytics afin de pouvoir le configurer de manière à ce qu'il soit conforme au RGPD.

Parmi les options disponibles, vous pouvez retrouver :

• Matomo : cette solution open-source, utilisée par la CNIL, est très prisée pour son respect de la vie privée. Elle propose un hébergement sur votre propre serveur, limitant ainsi les transferts de données.
• Contentsquare : cet outil analyse le comportement des utilisateurs, tout en permettant une anonymisation des données récoltées.
• Piano Analytics : anciennement Analytics Suite, cette solution se distingue par une grande adaptabilité aux besoins spécifiques de chaque site.

Il est également possible de se tourner vers des solutions gratuites, comme Plausible ou Simple Analytics, qui offrent des fonctionnalités plus limitées, mais respectent scrupuleusement les règles du RGPD.

Nous vous recommandons de faire appel à un expert Web Analytics en matière de conformité RGPD pour choisir et implémenter la solution la plus adaptée à votre situation.

10 juillet 2023 : la Commission européenne adopte une nouvelle décision concernant le transfert de données vers les États-Unis depuis l'Europe

La Commission européenne a pris une nouvelle décision le 10 juillet 2023, constatant que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Cette décision d'adéquation permet, sous certaines conditions, le transfert de données personnelles vers les États-Unis.

Ce changement découle des modifications apportées à la législation américaine, permettant d'assurer un niveau de protection adéquat pour les données à caractère personnel. Cette décision a été notifiée sous le numéro C(2023) 4745.

La Commission a ainsi validé juridiquement le nouvel accord de transfert transatlantique des données, connu sous le nom de Cadre de protection des données UE-États-Unis.
Nommé le Data Privacy Framework (DPF), ce nouvel accord de transfert de données entre l'Europe et les États-Unis, succède au Privacy Shield. Ce nouveau cadre juridique a pour vocation d'assurer un niveau adéquat de protection des données personnelles lors de leur transfert vers les États-Unis. Il permet aux entités américaines adhérentes de recevoir des données personnelles depuis l'Europe sans nécessité de garanties supplémentaires.

Le département du Commerce des États-Unis propose sur son site internet une liste des organismes qui respectent le Data Privacy Framework. On retrouve par ailleurs dans cette liste "Google LLC", l'entreprise qui stocke les données présentes dans Google Analytics.

6 septembre 2023 : un député français dépose deux plaintes auprès du Tribunal de l'Union européenne

Le 6 septembre 2023, le député français, Philippe Latombe, a déposé deux plaintes auprès du Tribunal de l'Union européenne. Ces plaintes visent à contester la validité du nouveau cadre de confidentialité des données Union Européenne - États-Unis, le Data Privacy Framework, ainsi que la récente décision d'adéquation de la Commission européenne.

Philippe Latombe soutient que ces accords ne respectent pas les précédentes décisions de la Cour de Justice de l'UE concernant la protection des données. En outre, il soulève des préoccupations quant à la souveraineté numérique, en particulier en ce qui concerne le transfert de données vers les États-Unis.

Cependant, Philippe Latombe n'est pas le seul à contester cet accord. Sujet de controverses, le Data Privacy Framework fait l'objet de nombreuses contestations, comme celle de l'Autrichien Max Shrems, car il pourrait ne pas garantir un niveau de protection des données équivalent aux standards européens.

L'activiste autrichien déclare : "Nous avons déjà plusieurs possibilités de contestation dans le tiroir, même si nous en avons assez de ce ping-pong juridique. Nous espérons actuellement que cela reviendra devant la Cour de justice d'ici le début de l'année prochaine. Dans l'intérêt de la sécurité juridique et de l'État de droit, nous obtiendrons alors une réponse si les petites améliorations apportées par la Commission ont été suffisantes ou non."

L'association NOYB, responsable de la majorité des plaintes déposées à la CNIL, évalue actuellement la nouvelle décision d'adéquation et cherchera très probablement à la faire contester devant la CJUE pour les mêmes raisons que celles qui ont conduites à l'invalidation de ses prédécesseurs "Safe Harbour" et "Privacy Shield".

Alors, est-il légal d'utiliser Google Analytics ?

Avec la déclaration de la Commission européenne de juillet 2023, les États-Unis sont dorénavant considérés comme un pays "adéquat" au sens du RGPD. Cela signifie que l'utilisation de Google Analytics en France est, pour le moment, de nouveau possible.

Cependant, les sites internet qui souhaitent utiliser Google Analytics devront :

• Obtenir le consentement des utilisateurs avant de collecter leurs données
• S’assurer de l’anonymisation des données pour limiter l'identification des individus (ex: tronquage des adresses IP)
• Limiter la durée de conservation des données
• Assurer la sécurité des données collectées.