La Cnil pousse Google Analytics en dehors des sites Web français

Les entreprises doivent revoir leur usage de Google Analytics

La console de mesure d’audience Google Analytics a du plomb dans l’aile en France et on voit mal comment les entreprises pourraient conserver cet outil. La Cnil considère que même une modification du paramétrage de Google Analytics ne suffira pas à le rendre conforme au RGPD. La Cnil donne ainsi le coup d’envoi d’une transformation massive de la mesure d’audience Web en France, Google Analytics étant très utilisé. Les entreprises vont devoir contacter un prestataire ad hoc.

Un proxy pour rendre Google Analytics conforme au RGPD ?

Pour faire bref, tous les responsables utilisant Google Analytics doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD à cause du transfert de données personnelles vers les Etats-Unis et à cause des risques d’identifier les personnes. Les entreprises doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité.

Y-a-t-il un moyen de continuer à utiliser Google Analytics en France ? La Cnil propose d’employer un serveur intermédiaire, un proxy mais elle ne semble pas y croire elle-même. La mise en œuvre de ce proxy peut se révéler « coûteuse et complexe » et « ne permet pas toujours de répondre aux besoins opérationnels des professionnels » reconnaît la Cnil. De son point de vue, s’il est correctement configuré, ce proxy peut constituer une solution opérationnelle pour limiter les risques pour les personnes tout en conservant Google Analytics. Ceci dit, elle propose une liste de 18 outils conformes au RGPD afin de remplacer Google Analytics (voir la liste détaillée ci-dessous).

Les données identifiantes que peut transmettre un outil de mesure d’audience web (Source Cnil)

Une action lancée contre Google Analytics à la suites des plaintes de l’association Noyb

Le 10 février 2022, la Cnil a mis en demeure plusieurs organismes utilisant Google Analytics en raison des transferts illégaux de données vers les États-Unis. La Cnil est intervenue à la suite de plusieurs plaintes, déposées par l’association Noyb (None of your business), mettant en cause l’utilisation par des sociétés françaises de l’outil de mesure d’audience Google Analytics.

La Cnil a estimé que ces plaintes étaient fondées et a mis en demeure les sociétés en cause de se mettre en conformité. La Cnil a estimé que l’utilisation de Google Analytics entraînait des transferts vers les États-Unis insuffisamment encadrés. La Cnil publie une foire aux questions afin de guider les entreprises.


Proposition de mise en place d’un proxy vers les serveurs de Google par la Cnil (Source Cnil)

À ce jour, et sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, la Cnil identifie les 18 solutions suivantes comme pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil de consentement :

La Cnil précise sur son site comment utiliser cette liste d’outils de mesure d’audience qui sont conformes au RGPD.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *