Comment la CNIL adopte-elle une stratégie de complexification des règles de mise en conformité et s’éloigne progressivement de son rôle de facilitateur ?

Nouvelle publication de la Cnil concernant Google Analytics

Historique 

La CNIL vient de publier un billet faisant suite à ses mises en demeure d’entreprises ayant recours à l’usage de Google Analytics. Dans cet article la CNIL tente de justifier ses décisions qui découlaient des plaintes de l’association NOYB (organisation de protection de la vie privée fondée par Max Schrems), en se fondant uniquement sur le fait que GOOGLE puisse avoir accès à l’adresse IP des internautes ayant acceptés le dépôt des cookies sur leurs terminaux. 

L’adresse IP étant considérée comme une donnée personnelle, elle permet potentiellement de réidentifier une personne physique derrière son ordinateur. Le risque derrière tout ça, et ce qui justifie les décisions de la CNIL c’est celui de la réidentification des internautes, et l’accès à ses données par le Gouvernement américain sous couvert du PATRIOT ACT visant à lutter contre le terrorisme. 

Dans ce cas, quid d’APPLE, MICROSOFT, AMAZON, et autres grandes sociétés américaines, qui disposent d’informations directement identifiantes nous concernant et dont nous utilisons les services tous les jours ? Le risque n’est-il pas plus important que concernant une adresse IP dont l’exploitation et l’intérêt peuvent s’avérer beaucoup plus discutable ? Peut-être que la réponse à cette question réside dans le fait que l’Europe n’a pas de concurrents à opposer à ces mastodontes américains sur ces secteurs.

Un argumentaire bancal

Ce qui est par ailleurs étrange dans l’argumentaire avancé par la CNIL, c’est qu’aucune indication n’est fournie sur la version de Google Analytics sur laquelle elle se fonde pour affirmer qu’ « une simple modification du paramétrage de l’outil est insuffisante » et ce sans expliciter le fond de sa pensée et le prouver techniquement. Ce qu’il faut ici lire entre les lignes, a priori, c’est que le paramétrage de Google Analytics (dans quelle version ?) ne permet pas d’empêcher GOOGLE de traiter l’adresse IP de l’utilisateur.

« La seule modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas à satisfaire les exigences de la CJUE, notamment car ces dernières continuent à être transférées aux Etats-Unis » 

Une solution décourageante et irréaliste

« Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données » 

Pour résoudre ce problème, la solution envisagée est celle de l’utilisation d’un serveur mandataire ou « proxy » pour « éviter tout contact direct entre le terminal de l’internaute et les serveurs » de Google Analytics. Des critères supplémentaires devant être remplis, ce dispositif s’apparentant alors à de la pseudonymisation avant export de données. Le responsable de traitement qui gère son site devrait donc établir « au moyen d’une analyse approfondie » que les données personnelles alors pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable. 

Vous pourrez retrouver ici les mesures à mettre en place pour ce serveur mandataire.

bloc_cnil_explication_google_analytics

La Cnil l’indique elle-même dans cet encart, une telle solution n’est pas adaptée à la majorité des entreprises de petites ou moyennes tailles qui ont recours à la solution gratuite et facilement utilisable que constitue Google Analytics. Elle recommande alors de se retourner vers des solutions d’analytiques européennes (cf. celles qui ont été approuvées par ses soins et qui demeurent payantes). 

Malgré tout une configuration envisageable

Encore une fois, quand la CNIL justifie sa décision, elle n’indique pas sur quelle version de Google Analytics elle se fonde. Les équipes de Google France ayant participé à un webinar organisé par l’AFCDP le 4 mars 2022 annonçait le déploiement de Google Analytics 4 (GA4) de manière généralisée (vous pouvez d’ores et déjà faire la mise à jour de votre version d’Analytics depuis votre espace d’administration de Google Analytics).  

Cette nouvelle version procédant par défaut à l’anonymisation de l’adresse IP des utilisateurs. L’anonymisation ayant lieu avant même que les données ne soient stockées ou traitées par GOOGLE. Est-ce que cet élément ne fait pas à lui seul basculer l’argumentaire de la Cnil ?  

Comme nous l’avons déjà à plusieurs reprises indiqué, et comme vous pouvez le retrouver dans notre article dédié à la configuration de Google Analytics, la version 4 de cet outil, GA4 peut selon nous être parfaitement configuré pour se prémunir des risques énoncés précédemment. Comment, me direz-vous ? C’est simple tout se trouve sur ce lien ! 

 cnil-cookies-google-analytics

En résumé, la CNIL ne semble pas vouloir purement interdire le recours à une solution selon elle non respectueuse des droits et libertés des personnes et trouve une solution favorisant des solutions européennes, payantes et approuvées. Cela, se fait au détriment des considérations inhérentes aux petites entreprises qui ne peuvent pas se permettre d’avoir recours à des solutions payantes (proxy ou solution d’Analytics) les décourageant encore plus ainsi de se mettre en conformité aux obligations du RGPD et de la directive e-Privacy. 

Pour finir, suite à l’actualité tragique de ces derniers mois l’Europe et les Etats-Unis ont signé un accord de principe sur le transfert des données le 25 mars 2022 visiblement pressenti pour succéder au Privacy Shield. On vous en avait déjà parlé sur notre blog, à retrouver ici

➡️ Quelle sera alors la position de la CNIL dans ce contexte ? 

➡️Est-il pertinent d’inciter les entreprises à investir dans des moyens / outils coûteux dans ce contexte de flou politique ? 

 

Ressource :  

  • Guide de mise à jour vers Google Analytics 4 : https://support.google.com/analytics/answer/10089681 

Obtenez le livre blanc dédié à la conformité web et faites de la conformité RGPD votre atout de différenciation marketing et commercial

Couverture_Livre_blanc_web_rgpd

En communiquant votre adresse mail, vous acceptez d’être contacté par Steredenn pour recevoir le livre blanc et communications afférentes. Vous disposez de la faculté de vous désinscrire des communications à tout moment. Pour plus de détails concernant le traitement de vos données personnelles et l’exercice de vos droits, consulter la Politique de protection de données.

Vous souhaitez en savoir plus sur la conformité RGPD de votre site ou application, ou par exemple correctement configurer Google Analytics ? Vous voulez bénéficier de l’attestation RGPD ? Vous êtes au bon endroit : ) Je me ferai un plaisir de vous répondre rapidement et de vous accompagner sur votre projet !

L’impact de l’EU-US Data Privacy Framework pour la conformité web

Quels changements pour la conformité des sites web (ex : Google Analytics) ?   Le 6 avril 2022 l’European Data Protection Board (EDPB ou CEPD pour Comité Européen de la Protection des Données) nous indiquait qu’un accord de principe était trouvé concernant le...

RGPD – Développeurs informatiques – Obligation et responsabilités

Quelles sont les obligations et responsabilités des développeurs informatiques ?   Une décision sujette à interrogation Le 12 janvier 2023, la Chambre commerciale de la Cour d’Appel de Grenoble a rendu sa décision RG n° 21/03701 largement commentée ces derniers...

reCAPTCHA, conformité RGPD et alternatives

  Le CAPTCHA, contre la protection des données personnelles ?     Et si ce n’était pas sur la question relative à GOOGLE ANALYTICS que la CNIL devrait mettre ses efforts pour la conformité de nos sites ? [Pour rappel de la situation➡️ notre premier...

CNIL – Mots de passe : mise à jour de l’état de l’art

CNIL  et mots de passe : nouvelle recommandation par la prise en compte des évolutions techniques   Une mise à jour attendue et nécessaire Dès l'article 1er de sa recommandation, la CNIL opère un renvoi vers l'article 32 du Règlement Général sur la Protection des...

Règles de prospection RGPD

Focus sur les règles applicables en matière de prospection commerciale   Vous vous posez encore et toujours des questions sur les règles (#rgpd) à suivre pour la gestion de votre prospection commerciale ? Voici quelques infos qui pourront vous aider 👇🏻   Stay Safe,...