UTILISATION DE GOOGLE ANALYTICS « ILLÉGALE » : QUELLES RECOMMANDATIONS DE LA CNIL ?

À la suite de plusieurs mises en demeure d’opérateurs de site Web, la CNIL a confirmé que l’utilisation de Google Analytics doit être considéré comme « illégale » dans ses conditions habituelles de mise en place.

Dans des questions-réponses sur son site, le régulateur français de la protection des données envisage une possibilité pour déployer la solution : utiliser un serveur proxy pour empêcher Google d'identifier l'utilisateur final.

Il appartient donc aux responsables de traitement de vérifier s’ils utilisent Google Analytics sur leurs sites et plateformes et sous quelles conditions.

Dans ce contexte, il reste à voir si l'utilisation de serveurs proxy est une solution viable en termes d'efficacité et de coût.

En résumé, la CNIL indique que :

1. L'utilisation de Google Analytics par les exploitants de sites Web enfreint le RGPD car elle permet des transferts de données personnelles vers les États-Unis ;
2. Les mesures proposées pour réduire les risques de tels transferts ne répondent pas aux exigences légales européennes ;
3. Les opérateurs de sites ne peuvent pas adopter une approche fondée sur le risque en fonction de la probabilité d'accès aux données par les autorités de surveillance américaines. La simple possibilité d'un tel accès constitue une violation du RGPD ;
4. La CNIL a adressé des mises en demeure à un certain nombre d'opérateurs de sites web français, leur ordonnant de démontrer leur conformité sur cette question dans un délai d'un mois ;
5. Tous les responsables de traitement utilisant Google Analytics de manière similaire aux organismes faisant l'objet de mises en demeure doivent, dès à présent, considérer que cette utilisation est illégale car contraire au RGPD ;
6. Il peut exister une possibilité d'utiliser Google Analytics de manière légale en utilisant des serveurs proxy, empêchant ainsi tout contact par HTTPS entre l'équipement terminal de l'utilisateur et les serveurs de Google ;
7. Cette solution doit toutefois répondre à des critères techniques stricts afin de garantir qu'il n'existe aucune possibilité pour Google de ré identifier les personnes concernées. Des précisions sur cette solution dite de « proxyfication » sont disponibles sur le site de la CNIL.

Pour plus de détail sur l’affaire Google Analytics et sur les transferts de données vers les Etats-Unis, vous pouvez consulter notre article de février 2022, publié lors des premières mises en demeure en France.

Les avocats de notre Pôle Data se tiennent à votre disposition afin de vous accompagner dans la revue de vos transferts de données.