COOKIES : Google Analytics illégal ? 🌕
Le point sur la conformité des services de Google
Le 13 janvier 2022, la « Cnil » autrichienne a rendu une décision dans laquelle elle juge que l’utilisation de Google Analytics violerait le RGPD, dans la mesure où le transfert de données vers les Etats-Unis contreviendrait à l’arrêt Schrems II (ayant invalidé le Privacy Shield qui permettait d’encadrer les transferts de données personnelles vers les Etats-Unis).
La « Cnil » néerlandaise, elle, a déclaré enquêter sur l’outil et alerte sur le fait que Google Analytics ne pourrait plus être autorisé en Europe. 🔭
Il y a peu le Parlement Européen a lui aussi été épinglé par le contrôleur européen au motif qu’il aurait violé la législation sur les cookies et sur les règles de transferts de données vers les Etats-Unis.
Malgré ces éléments peu engageants, l’utilisation de Google Analytics reste pour l’heure légale, à charge pour les responsables de traitement qui y ont recours de suivre quelques conseils afin de s’assurer de la bonne configuration de l’outil au regard des exigences du RGPD.
En attendant des décisions quant à la légalité de l’utilisation des outils de Google, visant notamment à se prémunir de l’intervention du gouvernement américain au titre du Cloud Act, voici nos recommandations pratiques afin de s’assurer qu’il n’y a pas de remontées d’informations identifiantes auprès de Google et de transferts d’informations personnelles vers les Etats-Unis 🚨🔭
Configurer Google Analytics 4
Depuis la console d’administration de Google Analytics 4, dans les paramètres du compte il est nécessaire de désactiver les cases à cocher suivantes :
- « Produit et services Google » afin d’empêcher la remontée d’information auprès de Google,
- « Assistance technique »
- Et les deux cases à cocher de la rubrique « spécialistes de compte »,
En désactivant ces paramètres, Google ne doit plus avoir accès à vos données issues des cookies.
Sur la même page, il est recommandé par ailleurs de signer le « Data Protection Agreement » de Google depuis les paramètres du compte encadrant les conditions relatives au traitement des données pour votre compte, afin de s’assurer que le traitement de vos données se fait en accord avec les principes du RGPD. Vous pouvez y renseigner notamment le contact de votre DPO s’il a été désigné.
Enfin, vous pouvez procéder à un examen des requêtes émanant de votre site (via l’inspecteur d’éléments de votre navigateur dans la partie « réseau ») pour s’assurer que les données émanant de requêtes liées à l’utilisation des services de Google transitent vers des serveurs localisés en Europe (sur ce point Google a semble-t-il opéré dernièrement une relocalisation de ses serveurs avec le déploiement de Google Analytics 4)🧐.
Bien entendu, ce paramétrage ne vous dispense pas de correctement configurer la gestion des cookies sur votre site, au regard du recueil de consentement et de l’information à fournir à vos utilisateurs.
A noter que Google a déposé auprès des services de la Cnil dans le courant de l’été 2021 son dossier en vue de voir sa solution approuvée par la Cnil comme étant dispensée de consentement. Suite à un échange de questions réponses entre la société et l’Autorité, aucune nouvelle n’a été donnée.
Stay tuned, stay safe ! 🚀
Sources : https://lnkd.in/geveFGyJ
https://lnkd.in/gPUf3wm3
D’autres informations utiles concernant le paramétrage des différentes versions de Google Analytics, en particulier concernant l’anonymisation des adresses IP (considérées comme des données personnelles) et les durées de conservation :
https://lnkd.in/gGRFQgDp
Retrouvez nous aussi sur LinkedIn !
