Comment la CNIL adopte-elle une stratégie de complexification des règles de mise en conformité et s’éloigne progressivement de son rôle de facilitateur ?

Nouvelle publication de la Cnil concernant Google Analytics

Historique 

La CNIL vient de publier un billet faisant suite à ses mises en demeure d’entreprises ayant recours à l’usage de Google Analytics. Dans cet article la CNIL tente de justifier ses décisions qui découlaient des plaintes de l’association NOYB (organisation de protection de la vie privée fondée par Max Schrems), en se fondant uniquement sur le fait que GOOGLE puisse avoir accès à l’adresse IP des internautes ayant acceptés le dépôt des cookies sur leurs terminaux. 

L’adresse IP étant considérée comme une donnée personnelle, elle permet potentiellement de réidentifier une personne physique derrière son ordinateur. Le risque derrière tout ça, et ce qui justifie les décisions de la CNIL c’est celui de la réidentification des internautes, et l’accès à ses données par le Gouvernement américain sous couvert du PATRIOT ACT visant à lutter contre le terrorisme. 

Dans ce cas, quid d’APPLE, MICROSOFT, AMAZON, et autres grandes sociétés américaines, qui disposent d’informations directement identifiantes nous concernant et dont nous utilisons les services tous les jours ? Le risque n’est-il pas plus important que concernant une adresse IP dont l’exploitation et l’intérêt peuvent s’avérer beaucoup plus discutable ? Peut-être que la réponse à cette question réside dans le fait que l’Europe n’a pas de concurrents à opposer à ces mastodontes américains sur ces secteurs.

Un argumentaire bancal

Ce qui est par ailleurs étrange dans l’argumentaire avancé par la CNIL, c’est qu’aucune indication n’est fournie sur la version de Google Analytics sur laquelle elle se fonde pour affirmer qu’ « une simple modification du paramétrage de l’outil est insuffisante » et ce sans expliciter le fond de sa pensée et le prouver techniquement. Ce qu’il faut ici lire entre les lignes, a priori, c’est que le paramétrage de Google Analytics (dans quelle version ?) ne permet pas d’empêcher GOOGLE de traiter l’adresse IP de l’utilisateur.

« La seule modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas à satisfaire les exigences de la CJUE, notamment car ces dernières continuent à être transférées aux Etats-Unis » 

Une solution décourageante et irréaliste

« Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données » 

Pour résoudre ce problème, la solution envisagée est celle de l’utilisation d’un serveur mandataire ou « proxy » pour « éviter tout contact direct entre le terminal de l’internaute et les serveurs » de Google Analytics. Des critères supplémentaires devant être remplis, ce dispositif s’apparentant alors à de la pseudonymisation avant export de données. Le responsable de traitement qui gère son site devrait donc établir « au moyen d’une analyse approfondie » que les données personnelles alors pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable. 

Vous pourrez retrouver ici les mesures à mettre en place pour ce serveur mandataire.

La Cnil l’indique elle-même dans cet encart, une telle solution n’est pas adaptée à la majorité des entreprises de petites ou moyennes tailles qui ont recours à la solution gratuite et facilement utilisable que constitue Google Analytics. Elle recommande alors de se retourner vers des solutions d’analytiques européennes (cf. celles qui ont été approuvées par ses soins et qui demeurent payantes). 

Malgré tout une configuration envisageable

Encore une fois, quand la CNIL justifie sa décision, elle n’indique pas sur quelle version de Google Analytics elle se fonde. Les équipes de Google France ayant participé à un webinar organisé par l’AFCDP le 4 mars 2022 annonçait le déploiement de Google Analytics 4 (GA4) de manière généralisée (vous pouvez d’ores et déjà faire la mise à jour de votre version d’Analytics depuis votre espace d’administration de Google Analytics).  

Cette nouvelle version procédant par défaut à l’anonymisation de l’adresse IP des utilisateurs. L’anonymisation ayant lieu avant même que les données ne soient stockées ou traitées par GOOGLE. Est-ce que cet élément ne fait pas à lui seul basculer l’argumentaire de la Cnil ?  

Comme nous l’avons déjà à plusieurs reprises indiqué, et comme vous pouvez le retrouver dans notre article dédié à la configuration de Google Analytics, la version 4 de cet outil, GA4 peut selon nous être parfaitement configuré pour se prémunir des risques énoncés précédemment. Comment, me direz-vous ? C’est simple tout se trouve sur ce lien ! 

En résumé, la CNIL ne semble pas vouloir purement interdire le recours à une solution selon elle non respectueuse des droits et libertés des personnes et trouve une solution favorisant des solutions européennes, payantes et approuvées. Cela, se fait au détriment des considérations inhérentes aux petites entreprises qui ne peuvent pas se permettre d’avoir recours à des solutions payantes (proxy ou solution d’Analytics) les décourageant encore plus ainsi de se mettre en conformité aux obligations du RGPD et de la directive e-Privacy. 

Pour finir, suite à l’actualité tragique de ces derniers mois l’Europe et les Etats-Unis ont signé un accord de principe sur le transfert des données le 25 mars 2022 visiblement pressenti pour succéder au Privacy Shield. On vous en avait déjà parlé sur notre blog, à retrouver ici. 

➡️ Quelle sera alors la position de la CNIL dans ce contexte ? 

➡️Est-il pertinent d’inciter les entreprises à investir dans des moyens / outils coûteux dans ce contexte de flou politique ? 

Ressource :  

• Guide de mise à jour vers Google Analytics 4 : https://support.google.com/analytics/answer/10089681