CNIL Google Analytics et RGPD

Mis à jour le 13 avril 2023

cnil analytics rgpd

La CNIL, ou Commission Nationale de l’Informatique et des Libertés, est une autorité administrative indépendante française créée en 1978. Elle a pour mission de protéger les droits et les libertés des personnes en matière de traitement des données à caractère personnel. Elle est chargée de veiller au respect de la loi Informatique et Libertés en France, ainsi qu’à la mise en œuvre du Règlement Général sur la Protection des Données (RGPD) dans l’Union européenne. La CNIL est compétente pour contrôler et sanctionner les manquements aux règles de protection des données personnelles. Elle est également chargée d’informer et de conseiller les entreprises, les particuliers et les administrations sur les bonnes pratiques à adopter en matière de protection des données personnelles. La CNIL est un acteur clé dans la promotion d’une utilisation responsable et éthique des données personnelles en France et en Europe.

En juin 2022, la CNIL a mis en demeure des éditeurs de sites web utilisant l’outil Google Analytics pour transfert illégal de données vers les Etats-Unis. Cette décision a été prise en raison des risques potentiels pour la vie privée des utilisateurs européens, notamment en ce qui concerne le Cloud Act américain.

Dans cet article, nous allons examiner en détail les enjeux liés à cette mise en demeure et les obligations imposées aux entreprises en matière de protection des données personnelles.

Google Analytics : présentation et utilisation

Google Analytics est un outil d’analyse de sites web développé par Google. Il permet aux propriétaires de sites web de collecter des données sur l’activité de leurs visiteurs, telles que le nombre de visiteurs, les pages visitées, la durée de la visite, la provenance des visiteurs, etc. Ces données sont collectées via des cookies, des scripts et des balises, et sont ensuite traitées pour générer des rapports détaillés sur l’activité du site web.

L’utilité de Google Analytics réside dans le fait qu’il permet aux propriétaires de sites web de mieux comprendre le comportement de leurs visiteurs et d’optimiser leur site web en conséquence. Par exemple, en utilisant Google Analytics, un propriétaire de site web peut identifier les pages les plus populaires de son site, les sources de trafic les plus importantes, les mots clés les plus utilisés par les visiteurs pour trouver le site, etc. Ces informations peuvent ensuite être utilisées pour améliorer le contenu du site, le référencement, la navigation, etc.

Cependant, depuis l’adoption du RGPD en 2016, certaines entreprises ont remis en question l’utilisation de Google Analytics en raison des risques potentiels pour la vie privée des utilisateurs européens. En effet, Google Analytics collecte des données personnelles telles que l’adresse IP des visiteurs, ce qui peut permettre de les identifier directement ou indirectement. De plus, la collecte de données personnelles sans le consentement explicite de l’utilisateur est considérée comme illégale selon le RGPD.

Pour se conformer aux exigences du RGPD, Google Analytics a développé de nouvelles fonctionnalités telles qu’un outil de gestion du consentement et l’anonymisation des données. Ces fonctionnalités permettent aux propriétaires de sites web de recueillir le consentement explicite de leurs visiteurs avant de collecter leurs données personnelles, et de rendre les données anonymes pour respecter la vie privée des utilisateurs.

Cependant l’Europe à répondu que ces modifications n’étaient pas suffisante. La CNIL a demandé à Google s’il était possible de paramétrer l’outil Google Analytics pour ne pas transférer de données personnelles hors de l’Union européenne. La réponse de Google a été que toutes les données collectées par Google Analytics sont hébergées aux États-Unis, ce qui pose des problèmes de protection des données personnelles des utilisateurs européens, notamment en raison du Cloud Act américain. En outre, même en l’absence de transfert de données, l’utilisation de solutions proposées par des sociétés soumises à des juridictions extra-européennes peut entraîner des difficultés en matière d’accès aux données.

En effet, ces sociétés peuvent être obligées de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne sur demande des autorités de pays tiers.

Quelques chiffres sur Google Analytics

Pour vous donner l’ampleur de la chose voici quelques chiffres concernant Google Analytics:

  • Environ 28,1 millions de sites web utilisent Google Analytics dans le monde en 2022.
  • Plus de 4 millions de sites web aux États-Unis utilisent Google Analytics.
  • Google Analytics est utilisé par environ 55,49 % de tous les sites web au monde (source statista).
  • Google détient la plus grande part de marché en matière d’analyse web, avec une part de marché de 31,55 % pour Google Analytics en 2021.
  • Le marché mondial de l’analyse en tant que service (SaaS) devrait atteindre une valeur de 59 milliards de dollars d’ici 2027.

Les risques liés au transfert de données personnelles vers les Etats-Unis

Le transfert de données personnelles vers les Etats-Unis pose des risques pour la vie privée des utilisateurs européens, notamment en raison du Cloud Act américain. Ces risques ont été mis en évidence dans le cadre de l’utilisation de Google Analytics, et ont conduit à des actions de l’ONG NOYB et des autorités de protection des données pour faire respecter le RGPD.

Dans cette partie, nous allons examiner les implications du Cloud Act sur la vie privée des utilisateurs européens, les risques pour les utilisateurs de Google Analytics en Europe, ainsi que les actions entreprises pour garantir le respect du RGPD.

Le Cloud Act et de ses implications sur la vie privée des utilisateurs européens

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en 2018 qui permet aux autorités américaines d’accéder aux données stockées par les entreprises américaines, même si ces données sont stockées à l’étranger. Cette loi a des implications importantes pour la vie privée des utilisateurs européens, car elle permet aux autorités américaines d’accéder aux données personnelles des utilisateurs européens stockées sur des serveurs américains, sans leur consentement ni leur connaissance.

Le Cloud Act a été contesté par les autorités européennes de protection des données, qui ont souligné qu’il était incompatible avec le RGPD et qu’il violait les droits fondamentaux des citoyens européens. Les autorités européennes ont également critiqué le manque de transparence entourant l’utilisation de cette loi, qui ne prévoit pas de procédure claire pour les utilisateurs européens qui souhaitent contester l’accès de leurs données par les autorités américaines.

En conséquence, les autorités européennes ont mis en place des règles strictes pour les entreprises qui transfèrent des données personnelles hors de l’Union européenne, afin de protéger la vie privée des utilisateurs européens. Ces règles comprennent notamment l’obligation pour les entreprises de garantir un niveau de protection adéquat pour les données transférées, et le consentement explicite des utilisateurs pour le transfert de leurs données personnelles en dehors de l’Union européenne.

Dans le cas de Google Analytics, la CNIL a mis en demeure des éditeurs de sites web utilisant cet outil pour transfert illégal de données vers les Etats-Unis en raison des risques potentiels pour la vie privée des utilisateurs européens, notamment en ce qui concerne le Cloud Act américain.

Analyse des actions de l’ONG NOYB et des autorités de protection des données pour faire respecter le RGPD

L’ONG NOYB a été créée pour lancer des actions stratégiques en faveur du respect du RGPD et de la protection de la vie privée en général. Elle se concentre sur les violations de la vie privée dans le secteur privé et est financée par plus de 4 400 membres soutiens.

NOYB

Les actions de l’ONG NOYB ont été nombreuses et ont abouti à des résultats significatifs. Elle a notamment lancé des actions contre Facebook, Google et Apple pour des violations présumées du RGPD. Les résultats incluent des amendes importantes pour Google, la reconnaissance de la responsabilité des entreprises en matière de transferts de données transatlantiques et une décision de justice interdisant l’utilisation de Google Analytics sur les sites Web européens.

NOYB a également encouragé les autorités de protection des données à appliquer le RGPD de manière plus stricte. Elle a lancé des vagues de plaintes en masse pour faire respecter les décisions de la Cour de justice de l’Union européenne (CJUE) concernant les transferts de données transatlantiques.

Dans l’ensemble, les actions de NOYB ont été importantes pour faire respecter le RGPD et pour assurer la protection de la vie privée des citoyens européens. Les autorités de protection des données ont travaillé en collaboration avec NOYB pour atteindre ces objectifs, en prenant en compte les résultats de ses actions et en prenant des mesures pour appliquer le RGPD de manière plus stricte.

NOYB a mené plusieurs actions pour faire respecter le RGPD, dont voici quelques exemples :

  • L’affaire Schrems I : Max Schrems et NOYB ont déposé une plainte contre Facebook auprès de la Commission irlandaise de protection des données en 2013, qui a conduit à l’invalidation du système de transfert de données Safe Harbor par la Cour de justice de l’Union européenne en 2015.
  • Les plaintes pour « consentement forcé » : dès l’entrée en vigueur du RGPD en mai 2018, NOYB a déposé des plaintes contre Facebook, WhatsApp, Instagram et Google LLC pour avoir violé l’article 7(4) en tentant de bloquer complètement l’utilisation de leurs services si les utilisateurs refusent de donner leur consentement à tous les traitements de données, y compris ceux considérés comme superflus.
  • L’affaire Schrems II : Max Schrems et NOYB ont à nouveau porté plainte contre Facebook en 2018 pour transfert illégal de données vers les États-Unis, après l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne en juillet 2020.
  • Les plaintes contre l’utilisation de l’identifiant publicitaire d’Apple (IDFA) : en novembre 2020, NOYB a déposé des plaintes auprès des autorités de protection des données en Allemagne et en Espagne, affirmant que l’IDFA permettait à Apple et aux applications sur les téléphones de suivre les utilisateurs et de combiner des informations sur leur comportement en ligne et sur mobile.
  • Les plaintes contre le suivi publicitaire de Google : en avril 2021, NOYB a déposé une plainte en France contre Google, affirmant que les utilisateurs d’Android étaient suivis sans leur consentement via l’Advertising ID de Google.

En plus de ces actions, NOYB met également la pression sur les régulateurs pour faire respecter les lois sur la protection des données, comme l’a montré son ouverture de lettre à la Commission irlandaise de protection des données en 2020. Les autorités de protection des données, quant à elles, ont pris des mesures contre des entreprises qui ont violé le RGPD, comme dans le cas de Grindr en Norvège en 2021.

La mise en conformité de Google Analytics avec le RGPD

La CNIL a indiqué que les modifications apportées par Google Analytics pour se conformer au RGPD restent insuffisantes. La CNIL a souligné que les éditeurs de sites web sont les responsables de l’utilisation de Google Analytics sur leur site et qu’ils doivent veiller à ce que les données collectées soient traitées conformément aux dispositions du RGPD. En d’autres termes, les éditeurs de sites web doivent s’assurer que leur utilisation de Google Analytics est conforme aux exigences de protection des données du RGPD, même si Google a proposé des outils pour aider à se conformer. La CNIL peut prendre des mesures d’application de la loi si elle constate que les éditeurs de sites web ne respectent pas les exigences du RGPD en matière de protection des données.

Les éditeurs de sites web doivent trouver des solutions alternatives pour se conformer aux exigences du RGPD en matière de protection des données personnelles. Google Analytics propose des solutions pour se conformer au RGPD, telles que l’outil de gestion du consentement et l’anonymisation des données, mais il est possible que ces solutions ne soient pas suffisantes pour certains cas d’utilisation spécifiques. Les éditeurs de sites web doivent donc évaluer leurs pratiques en matière de collecte et de traitement de données personnelles pour s’assurer de se conformer aux exigences du RGPD.

Les conséquences de la mise en demeure de la CNIL pour les éditeurs de sites web

La mise en demeure de la CNIL peut avoir des conséquences importantes pour les éditeurs de sites web utilisant Google Analytics en France et en Europe. En cas de non-conformité au RGPD, ces éditeurs s’exposent à des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. Source: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32016R0679

L’article 83 est à la page 88 du document. Le paragraphe en question est le suivant: « Les infractions aux dispositions du présent règlement énoncées à l’article 5, à l’article 6, paragraphe 1, à l’article 8, à l’article 9, à l’article 12, aux articles 13 à 22, et à l’article 34 sont sanctionnées, conformément au paragraphe 2, par des amendes administratives pouvant atteindre 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

Les éditeurs de sites web peuvent donc chercher des alternatives à Google Analytics pour se mettre en conformité avec le RGPD. Il existe plusieurs solutions disponibles sur le marché, telles que Matomo (anciennement Piwik), AT Internet ou encore Adobe Analytics. Ces solutions proposent des fonctionnalités similaires à celles de Google Analytics, tout en offrant des options de consentement et d’anonymisation des données pour se conformer au RGPD.

Les alternatives à Google Analytics respectueuses de la RGPD en Europe

Voici quelques alternatives open source à Google Analytics que vous pouvez envisager en tant que solutions respectueuses de la RGPD en Europe:

  • Matomo (anciennement Piwik) : Matomo est une plateforme d’analyse Web open source qui permet de suivre le comportement des utilisateurs sur votre site Web et d’obtenir des données précises sur votre audience. Matomo offre des fonctionnalités similaires à Google Analytics, mais permet également un contrôle complet des données collectées, garantissant ainsi la conformité à la RGPD.
  • Fathom Analytics : Fathom Analytics est une alternative open source simple et légère à Google Analytics qui offre des données d’analyse de site Web sans suivre les utilisateurs individuels. Fathom Analytics est conçu pour être plus respectueux de la vie privée et est conforme à la RGPD.
  • Countly : Countly est une plateforme d’analyse mobile et Web open source qui offre des données d’analyse détaillées sur les utilisateurs, les sessions et les événements. Countly est hautement personnalisable et offre des fonctionnalités de segmentation d’audience, de suivi de la rétention, de tests A/B et de notifications push.
  • Open Web Analytics : Open Web Analytics est une plateforme d’analyse Web open source qui fournit des données d’analyse détaillées sur les visiteurs de votre site Web, y compris les pages visitées, les événements déclenchés et les conversions. Open Web Analytics est hautement personnalisable et offre un contrôle complet des données collectées.
  • Umami : Umami est une alternative open source à Google Analytics qui offre des données d’analyse de site Web simples et légères, tout en garantissant le respect de la vie privée des utilisateurs. Umami offre des fonctionnalités de suivi de base, telles que le suivi des pages visitées, des événements déclenchés et des conversions.

Il est important de noter que toutes ces alternatives open source offrent des fonctionnalités similaires à celles de Google Analytics, mais garantissent également la conformité à la RGPD en permettant un contrôle complet des données collectées et en respectant la vie privée des utilisateurs.

Conclusion

Il est important de rappeler l’importance de la protection des données personnelles et de se conformer aux obligations imposées par le RGPD pour garantir la confidentialité et la sécurité des données des utilisateurs. Les éditeurs de sites web devraient prendre des mesures pour se mettre en conformité avec le RGPD en choisissant des solutions alternatives à Google Analytics, en s’assurant de recueillir le consentement éclairé des utilisateurs et en adoptant une politique de confidentialité claire et accessible.

La foire aux questions

Qu’est-ce que la RGPD et en quoi affecte-t-elle le web analytics ?

La RGPD est une loi de protection des données de l’Union européenne qui est entrée en vigueur en 2018. Elle impose des règles strictes sur la collecte, le traitement et la gestion des données personnelles des utilisateurs. Cela affecte le web analytics car les données collectées sur les utilisateurs doivent être conformes aux règles de protection des données.

Quelles sont les données que les outils de web analytics peuvent collecter sous la RGPD ?

Les outils de web analytics peuvent collecter des données telles que l’adresse IP de l’utilisateur, la localisation, le navigateur utilisé, le temps de visite sur une page, etc. Cependant, ces données doivent être collectées avec le consentement de l’utilisateur, anonymisées ou pseudonymisées afin de respecter la RGPD.

Comment obtenir le consentement de l’utilisateur pour collecter des données sous la RGPD ?

Le consentement doit être obtenu de manière explicite et sans ambiguïté de la part de l’utilisateur. Les utilisateurs doivent être informés clairement de ce que leurs données seront collectées et pour quelles raisons. Il doit être facile pour eux de retirer leur consentement.

Quels sont les risques pour les entreprises qui ne se conforment pas à la RGPD en matière de web analytics ?

Les entreprises peuvent encourir des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. Elles risquent également de perdre la confiance de leurs utilisateurs et de subir des dommages à leur réputation.

Comment se conformer à la RGPD en matière de web analytics ?

Les entreprises doivent s’assurer que les outils de web analytics qu’elles utilisent sont conformes à la RGPD. Elles doivent également obtenir le consentement explicite des utilisateurs pour collecter leurs données. Enfin, elles doivent garantir la sécurité et la confidentialité des données collectées.

Existe-t-il des alternatives à Google Analytics pour se conformer à la RGPD ?

Oui, il existe des alternatives à Google Analytics telles que Matomo, Piwik PRO, AT Internet, et d’autres encore. Ces alternatives sont spécifiquement conçues pour respecter les règles de protection des données de la RGPD.

La RGPD s’applique-t-elle uniquement en Europe ?

La RGPD s’applique à toutes les entreprises qui collectent, stockent ou traitent des données personnelles d’utilisateurs de l’UE, quelle que soit la localisation de l’entreprise.

5/5 - (1 vote)
Jean-Michel Kuzaj, consultant data, auteur sur Analytics.fr
À propos de l'auteur

Je suis Jean-Michel, consultant data et auteur sur le blog Analytics.fr. Je suis actif sur le web depuis 2004. Depuis lors, je n'ai cessé de me passionner pour l'univers numérique, où j'ai acquis une expérience solide en marketing digital et analyse de données.

J'aide mes clients à collecter, gérer et utiliser correctement les données pour des analyses pertinentes. Contactez-moi.

Catégories

Articles similaires

Retour en haut