L’outil Google Analytics est une fonctionnalité proposée par Google permettant de mesurer la fréquentation d’un site web par les internautes. Un traceur, le cookie, qui est un identifiant unique à chaque utilisateur, lui est attribué lorsqu’il se rend sur le site. Ce traceur va analyser son activité sur le web et le retranscrire dans l’outil Google Analytics. Ces données, qui constituent des données personnelles, sont par la suite transférées par Google aux Etats-Unis par certains éditeurs de site web.
La décision de la CNIL
Le jeudi 10 février 2022, après avoir été saisie de plaintes à plusieurs reprises par l’association NOYB, la CNIL a rendu sa décision sur l’utilisation de Google Analytics par plusieurs entreprises. Après analyse des conditions dans lesquelles les données personnelles collectées et traitées par Google Analytics sont transférées aux USA, la CNIL a estimé que « ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles. ». La CNIL conclut que les transferts de données vers les USA ne sont aujourd’hui pas encore assez encadrés et en l’absence d’une décision d’adéquation, les transferts vers les USA ne doivent pas avoir lieu. L’utilisation de Google Analytics représente donc une violation des articles 44 et suivants du RGPD. Les différents sites concernés par les plaintes ont reçu une mise en demeure, et bénéficient d’un mois pour se mettre en conformité.
La CNIL recommande que les outils de mesure et d’analyse d’audience ne servent qu’à produire des données statistiques anonymes, qui ne nécessitent pas le consentement de l’utilisateur.
Configurer son Google Analytics
Il est nécessaire d’optimiser l’utilisation de la solution Google Analytics dans un cadre respectueux des données personnelles des utilisateurs. Cela est possible notamment en appliquant le principe de minimisation de la donnée qui prévoit que les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Il est également conseillé d’activer l’anonymisation des adresses IP avant stockage par Google Analytics ainsi que de réduire la durée de vie des cookies déposés chez les utilisateurs.
Des alternatives à Google Analytics
Google Analytics étant la solution la plus utilisée, il n’est pourtant pas le seul outil sur ce marché. On retrouve notamment Matomo, un outil d’analyse du web respectueux de la vie privée et des données, ainsi qu’AT Internet qui sont des outils de mesure d’audience que la CNIL identifie comme « pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement », « sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application ».
Pour en savoir plus : Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web
Sources :
https://www.blogdumoderateur.com/google-analytics-rgpd-que-faire/
https://www.axeptio.eu/post/conformite-rgpd-comment-configurer-google-analytics