You are currently viewing L’interdiction de facto de Google Analytics par la CNIL
Website traffic analytics data on laptop computer

Pourquoi la CNIL a-t-elle récemment interdit l’usage de Google Analytics pour la majorité des sites web ? Peut-on contourner cette décision ?

I. Des transferts internationaux de données personnelles insuffisamment encadrés

C’est aujourd’hui acté. A la suite des autorités autrichiennes, la CNIL a enfin sévi contre Google Analytics (GA). Dans une série de décisions, l’autorité administrative a estimé que l’utilisation de GA entraînait, de fait, des transferts de données insuffisamment encadrés vers les États-Unis.

Or, et c’est maintenant chose connue, les États-Unis sont considérés comme pays à risque pour les données personnelles européennes depuis le fameux arrêt Schrems II de la Cour de Justice de l’UE. Si l’emploi de clauses contractuelles-types permet normalement de contourner cette difficulté, la CNIL estime que ce mécanisme n’est pas suffisant dans le cas de GA

Faute de garanties supplémentaires, l’utilisation de Google Analytics est donc jugée non-conforme au RGPD par la CNIL. C’est également la position précédemment prise par l’autorité de contrôle autrichienne.

II. La proxification, une solution conforme mais coûteuse

Dans la mesure où un simple paramétrage technique de GA est jugé insuffisant par les deux autorités de contrôle, une seule solution demeure aujourd’hui acceptable : la proxification.

Concrètement, le problème vient du contact direct, par voie d’échanges HTTPS, entre le terminal de l’utilisateur et les serveurs administrés par Google. Par les requêtes émises, cette connexion permet aux serveurs de Google d’obtenir l’adresse IP et les caractéristiques du terminal de l’utilisateur (methode dite du “fingerprinting”). L’utilisateur peut alors être indirectement identifié par le biais de ces informations, et sa navigation entre tous les sites utilisant Google analytics peut être retracée.

Dans ces conditions, la seule solution possible est l’utilisation d’un serveur mandataire (dit “proxy”) pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de Google.

Selon la CNIL, un certain nombre de critères cumulatifs doivent cependant être remplis par ce serveur :

  • les informations pouvant participer à la génération d’une empreinte doivent être retraités ;
  • tout paramètre contenu dans les URL collectées doit être supprimé ;
  • L’information de site référent (dit “referer”) doit être supprimé ;
  • le remplacement de l’identifiant utilisateur doit être remplacé par le serveur de proxification ;
  • l’adresse IP ne doit en aucun cas être transmise vers les serveurs de l’outil de mesure ;

 

Dans les faits, cette solution est relativement peu pratique. Complexe à mettre en œuvre par soi-même, elle risque d’être coûteuse si externalisée à un prestataire IaaS. En vue de produire des statistiques et analyses d’audience, la solution légale la plus simple semble donc de faire appel à des solutions européennes, conçues pour la conformité au RGPD.

En l’espèce, si , la décision repose naturellement sur chaque éditeur de site web, plusieurs se dégagent du lot comme Matomo ou Wide Angle Analytics. De quoi favoriser l’émergence de la tech européenne ?

A propos de Martin Deloy