Tacle à Google : dans un communiqué officiel de la CNIL, on apprend l’existence d’un problème majeur de respect des données de vie privée des usagers de sites web utilisant Google Analytics. Une mise en conformité est demandée sous un mois pour tous les gestionnaires de sites, c’est à dire ne plus utiliser l’outil de Google. Du pain sur la planche pour les webmasters. Explications.
Google Analytics VS RGPD : Le problème
L’association NOYB saisi la CNIL de plusieurs plaintes concernant Google Analytics.
Lors de la visite d’un site utilisant Google Analytics, un identifiant unique à chaque visiteur est généré, et un transfert de données de visites vers les États-Unis se produit. La CNIL estime que ces transferts ne sont « pas suffisamment encadrés à l’heure actuelle » au regard de la protection des données, qui est donc jugée insuffisante au regard du RGPD.
« La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. »
En Europe
Au niveau européen, on dénombre 101 réclamations portées par NOYB dans les 27 états membres de l’UE.
La CJUE (Cour de Justice de l’Union européenne) avait mis en avant en Juillet 2020 « le risque que les services de renseignements américains accèdent aux données personnelles transférées aux États-Unis », ce qui semble avoir contribué à la conclusion de la CNIL.
En France, conséquences pour les webmasters
Le communiqué de la CNIL est explicite : Les gestionnaires de sites ont un mois pour se mettre en confirmité et cesser l’utilisation de Google Analytics en l’état :
« […] La CNIL met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité. »
Quelles alternatives ?
La CNIL indique : « Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux. »
Il semble que Matomo soit une alternative viable à Google Analytics, et corresponde aux critères de la CNIL.
Leur argument : « Vous pourriez perdre la confiance de vos clients et risquer de nuire à votre réputation si les gens apprennent que leurs données sont utilisées aux « fins propres » de Google. En choisissant l’alternative éthique, Matomo, vous ne ferez aucun sacrifice en matière de confidentialité ni ne compromettrez votre site. Vous pouvez même utiliser Matomo sans avoir besoin de demander le consentement. »
Comble de la confidentialité : Matomo semble pouvoir s’auto-héberger. L’équipe HaiSoft est sur les starting blocks pour tester la solution.
Sources
Communiqué de la CNIL : https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
Article de Matomo (Anglais) : https://fr.matomo.org/blog/2022/02/france-google-analytics-gdpr-breach/