Image du titre

Google Analytics et RGPD : la CNIL explique comment être en conformité

Google Analytics et RGPD : la CNIL explique comment être en conformité

En février 2022, la CNIL annonçait des mises en demeure à l’encontre de sites web français qui utilisaient Google Analytics, estimant que l’usage de cet outil était une violation du RGPD, en raison de transferts de données vers les États-Unis.

 

Aujourd’hui, la CNIL fait le point sur la situation pour aider les acteurs du web à comprendre pourquoi certains paramétrages de l’outil ne sont pas suffisants pour être en conformité et propose une solution opérationnelle : l’utilisation d’un proxy.

 

La modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas pour être en conformité

 

À la suite de cette prise de position de la CNIL en février dernier, certains professionnels du web ont modifié leur paramétrage des conditions de traitement de l’adresse IP mais cela n’est pas suffisant selon l’autorité administrative française car les données continuent d’être transférées aux États-Unis.

 

Autre paramétrage qui ne suffit pas : le chiffrement de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site. La raison avancée par la CNIL : « cela n’apporte que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement du fait de la persistance du traitement de l’adresse IP par Google. »

 

Quel est le principal problème pour la CNIL ?

 

La problématique principale mise en avant par la CNIL : « le contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics. »

 

Une solution complexe proposée : l’utilisation d’un proxy

 

La CNIL recommande d’utiliser un serveur mandataire (un proxy) pour rompre le contact direct entre le terminal de l’internaute et les serveurs de Google. L’idée est de garantir que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne.

 

Dans son blog post, la CNIL liste toutes les mesures nécessaires à mettre en place pour que la proxyfication soit valable et les conditions d’hébergement adéquates. Mais mettre en place un proxy correctement configuré ne se fait pas en un claquement de doigts, et la CNIL en a conscience : « La mise en œuvre des mesures décrites ci-dessous (ndlr : la proxyfication) peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels. »

 

Le moment de changer d’outil de web analytics ?

 

Est-ce le moment de changer de solution de web analytics ? La question se pose. Dans son blog post, la CNIL invite d’ores et déjà les acteurs du web à se tourner vers d’autres solutions ne réalisant pas de transfert de données personnelles en dehors de l’Union européenne… Le début de la fin pour Google Analytics en France ?

 

La CNIL a publié une FAQ sur ses mises en demeure de la CNIL concernant l’utilisation de Google Analytics. Vous y retrouvez notamment une liste d’outils alternatifs de mesure d’audience.

Source : www.blogdumoderateur.com/

Date : 09/06/2022

Auteur : Estelle Raffin



Vous avez une idée, un projet ?

L'équipe de Z-INDEX se tient à votre disposition.

Contactez-nous