Peut-on utiliser Google Analytics et être conforme au RGPD ?

Google Analytics est une solution de mesure d’audience en ligne, utilisée par beaucoup d’éditeurs de sites internet en France. Elle permet en effet de mesurer la fréquentation et la performance d’un site internet. 

Toutefois, son utilisation requiert l’utilisation de cookies et la récolte de certaines données sur les utilisateurs du site concerné, notamment des données personnelles, transférées par Google aux Etats-Unis. 

Or, le Règlement Général sur la Protection des Données (RGPD) encadre le traitement des données personnelles au sein de l’Union Européenne, et notamment le transfert de ces données en dehors de l’UE. A ce titre, la Commission Nationale de l’Informatique et des Libertés (CNIL), a mis en demeure en février un éditeur de site internet de cesser l’utilisation de Google Analytics, en raison de la non-conformité de cet outil au RGPD. 

Suite à cette mise en demeure et aux nombreuses interrogations qu’elle a suscitées, la CNIL a récemment publié sur son site des questions-réponses afin de clarifier sa position sur ce sujet. 

Si vous exploitez un site internet dans le cadre de votre activité et utilisez à ce titre Google Analytics pour analyser les performances de votre site, il est alors essentiel de vous interroger sur votre conformité au RGPD. Me Benjamin Znaty décrypte pour vous le sujet de l’utilisation de Google Analytics à la lumière de sa conformité au RGPD.

1. Google Analytics : présentation et obligations générales de conformité 

Google Analytics : de quoi parle-t-on ? 

Google Analytics est un outil statistique très puissant mis en place par Google et disponible gratuitement. Il s’adresse aux éditeurs et  gestionnaires de sites internet et permet d’analyser avec précision le trafic sur leurs sites. 

Les données de navigation qui sont récoltées et analysées par Google Analytics dans un tel cadre concernent notamment : 

• les informations de sessions des utilisateurs (nombre de connexions) 
• l’audience (zone géographique, langue etc.)
• la source du trafic
• le comportement des utilisateurs (nombre de pages consultées, durée passée sur le site etc.)

Le principal avantage de Google Analytics réside donc dans la variété des métriques mesurées et analysées. Par ailleurs, cet outil est facilement utilisable, ergonomique et propose de nombreuses fonctionnalités intéressantes comme la création d’alertes en fonction de certaines données, le suivi du trafic en direct, la création d’un tableau de bord etc.

L’utilisation de Google Analytics nécessite en tout état de cause de recueillir le consentement préalable des utilisateurs

La récolte des données précitées sur les utilisateurs nécessite au préalable de placer un cookie sur le terminal de l’utilisateur. Les cookies sont définis par la CNIL comme des informations stockées sur le terminal et permettant de “suivre les internautes lors de leur navigation sur le Web par l’intermédiaire d’identifiants uniques.”

Il existe en réalité plusieurs types de cookies, dont notamment : 

• Les cookies dit “fonctionnels” : ils ont pour principal objectif de permettre à l’utilisateur d’utiliser et naviguer de façon optimale sur le site internet. La loi Informatique et Libertés n’impose pas de recueillir le consentement préalable des utilisateurs pour utiliser ce type de cookies.
• Les cookies de mesures d’audience, comme Google Analytics. 
• Les cookies publicitaires, qui récoltent les données sur les habitudes de consultation ou de consommation des utilisateurs, pour proposer du contenu publicitaire ciblé. 

Le placement de cookies non fonctionnels sur le terminal de l’utilisateur, comme les cookies de mesures d’audience et publicitaires, nécessitent de collecter le consentement préalable de l’utilisateur. Pour que le recueil du consentement soit conforme, il faut par ailleurs respecter un certain nombre de critères explicités par la CNIL (informer l’utilisateur sur les cookies utilisés et leur finalité, recueillir le consentement par un acte positif clair etc.). En pratique, cela se traduit par un fameux bandeau à l’affichage du site qui affiche les éléments  d’information requis et permet de collecter le consentement de l’utilisateur aux différents cookies voulant être utilisés.

En ce qui concerne les cookies de mesure d’audience, la CNIL a toutefois posé certaines exceptions permettant de ne pas avoir à collecter un tel consentement préalable. Elle a toutefois rappelé à maintes reprises par le passé que Google Analytics ne rentrait pas dans de telles exceptions et qu’un consentement préalable était donc bien requis. 

2. Le positionnement récent de la CNIL sur l’utilisation de Google Analytics et sa conformité au RGPD

Indépendamment même de la validité du consentement préalable collecté pour pouvoir utiliser Google Analytics, la CNIL a toutefois récemment considéré que son utilisation ne pouvait en tout état de cause être conforme au RGPD. 

Cette position fait suite à plusieurs plaintes déposées par l’association NYOB (None of Your Business) auprès de plusieurs autorités de protection des données européennes contre l’utilisation par certains sites internet de Google Analytics. Le problème posé ici ne concerne pas le consentement au placement de Google Analytics mais les conditions de transfert des données récoltées via cet outil vers les Etats-Unis par Google. L’une de ces plaintes a conduit la CNIL, le 10 février 2022, à mettre en demeure un gestionnaire de site internet, dont l’identité n’a pas été révélée, de cesser l’utilisation de Google Analytics. 

Cette mise en demeure est justifiée par une jurisprudence déjà établie au niveau de l’Union Européenne portant sur le transfert des données en dehors de l’UE (arrêt Schrems II) ainsi que sur des éléments propres à Google Analytics. L’arrêt Schrems II est une décision de la Cour de Justice de l’Union Européenne (CJUE), ayant notamment invalidé l’accord Privacy Shield qui était en place afin de permettre le transfert libre des données récoltées en Union Européenne vers les entreprises américaines qui y étaient soumises. L’arrêt a invalidé cet accord, et a par cette occasion entraîné la nécessité d’encadrer ces transferts par le respect de certaines règles prévues par le RGPD, à savoir notamment : 

• La mise en place des CCT publiées par la Commission Européenne (clauses contractuelles types) ayant pour objet de soumettre contractuellement aux grands principes du RGPD les entreprises étrangères important des données personnelles récoltées en UE ; 
• La mise en place de mesures supplémentaires aux CCT pour certains transferts vers des pays particulièrement à risque, comme les Etats-Unis. Il peut s’agir de mesures contractuelles, techniques ou organisationnelles, comme par exemple le chiffrement des données, si la clé de chiffrement est confiée à un tiers étranger à l'importateur des données. 

Or, dans sa mise en demeure du 10 février 2022, la CNIL a considéré que les transferts de données effectués par Google vers les États-Unis via Google Analytics n’étaient pas conformes à de telles exigences. En effet, même si des mesures supplémentaires aux CCT ont bien été adoptées par Google, la CNIL les a jugées comme insuffisantes afin d'exclure toute possibilité d’accès par les autorités américaines aux données transférées. 

Cette mise en demeure de la CNIL doit donc s’analyser comme une prise de position claire sur l’utilisation de Google Analytics en France, qui est vraisemblablement à bannir.

3. Peut-on encore utiliser Google Analytics en étant conforme au RGPD ?

Suite à la publication par la CNIL sur son site de la mise en demeure de février 2022, de nombreux commentateurs se sont interrogés sur la possibilité ou non pour les éditeurs de site internet de continuer à utiliser Google Analytics.

Certaines solutions et hypothèses ont alors été mises en avant pour potentiellement permettre une telle utilisation conforme parmis lesquelles notamment :

• Le paramétrage de Google Analytics en utilisant les fonctionnalités d’anonymisation des adresses IP offertes par Google ou celles permettant de limiter les données partagées à Google. 
• Le collecte d’un deuxième consentement auprès des utilisateurs afin que ces derniers autorisent expressément l’éditeur du site à transférer leurs données personnelles via Google Analytics vers les Etats-Unis. 
• Attendre le retour de Google suite à la décision de la CNIL (Google a en effet indiqué que les paramètres de Google Analytics allaient être modifiés afin de prendre en compte la décision de la CNIL). 

Dans ses questions/réponses sur Google Analytics publiées sur son site le 7 juin 2022, la CNIL a toutefois expressément rejeté l’ensemble de ces solutions en expliquant clairement qu’elles ne permettaient pas une utilisation conforme de la solution. 

La CNIL a toutefois laissé entendre qu’une seule solution technique pourrait permettre de continuer à utiliser Google Analytics en conformité, à savoir l’utilisation d’un serveur mandataire (ou “proxy”) afin d’éviter tout contact direct entre le terminal de l’internaute et les serveurs de Google. Concrètement, l’utilisation d’un tel proxy doit permettre de complètement anonymiser les données de l’utilisateur avant même qu’elles soient collectées par Google. C’est ainsi le serveur proxy qui va transférer les données de l’utilisateur à Google après les avoir anonymisées et non Google qui les collecte directement sur le terminal de l’utilisateur via son cookie Google Analytics. Pour se faire, le proxy doit toutefois être configuré d’une manière très précise, détaillée par la CNIL sur son site, afin de garantir une totale conformité d’un tel procédé. Cette solution est donc en réalité très complexe à mettre en œuvre, ce que la CNIL reconnaît elle-même au sein de sa communication. 

Compte tenu de cette nouvelle position de la CNIL, il semble donc très complexe en pratique, voire pratiquement impossible, pour un éditeur de site internet français de continuer à utiliser Google Analytics tout en étant conforme au RGPD. 

4. Quelles solutions alternatives et pourquoi se faire accompagner ? 

La conformité au RGPD est un enjeu majeur pour un éditeur de site internet, et les outils tels que Google Analytics peuvent la menacer. Ces éditeurs doivent donc sans attendre s’interroger sur de potentielles alternatives à l’utilisation de Google Analytics pour se maintenir en conformité avec le RGPD. Certaines solutions de mesure d’audience sont en conformité avec le RGPD, notamment celles qui ne transfèrent pas les données en dehors de l’UE. La CNIL propose en ce sens une liste de solutions de mesures d’audience qu’il est possible d’utiliser tout en restant en conformité avec le RGPD, et parfois même sans avoir à collecter un consentement préalable. 

Au-delà du sujet de Google Analytics, les raisonnements posés par la CNIL peuvent par ailleurs être très facilement transposables à d’autres cookies largement utilisés aujourd’hui sur Internet et fournis par de grands éditeurs américains, notamment à des fins publicitaires. Afin d’apprécier si la position de la CNIL sur Google Analytics peut être transposée à de telles solutions, il convient d’analyser avec précision le fonctionnement de ces solutions et les politiques et documents de conformité publiés par de tels éditeurs. 

Quand bien même de tels outils seraient conformes à la position de la CNIL au regard des transferts de données hors Europe, l’utilisation de tels cookies et traceurs sur un site internet, ou même sur une application mobile, reste par ailleurs sujette à d’importantes actions de conformité à mettre en place, notamment au regard de l’information fournie aux utilisateurs et aux modalités de collecte du consentement. 

Afin de garantir cette conformité et éviter les sanctions, il est donc essentiel de se faire accompagner par un expert de ces sujets, qui pourra évaluer les risques encourus et vous apporter des solutions répondant à vos besoins opérationnels, tout en garantissant le respect de votre service en ligne aux exigences du RGPD et de la CNIL. 

Besoin d'accompagnement ?

Me Benjamin Znaty vous conseille et vous assiste dans vos démarches

Je me renseigne sur cet avocat