Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Google Analytics est-il illégal dans l’UE et au Royaume-Uni ?

Vous avez peut-être entendu dire que Google Analytics était illégal en Europe ou qu’il violait le RGPD. Comme la plupart des choses liées à la vie privée, ce n’est pas toujours aussi simple. Nous avons rédigé cet article pour mieux expliquer ce dont il est question, ce que cela signifie jusqu’à présent et comment cela pourrait vous affecter si vous utilisez Google Analytics en Europe.

Vous êtes basé au Royaume-Uni ? Alors ce post vous concerne également, car les règles du RGPD sont toujours applicables au Royaume-Uni dans le cadre du « UK GDPR ». 

En bref

👉 Que s’est-il passé : Plusieurs autorités européennes de protection des données ont constaté que le traitement des données des utilisateurs européens par Google Analytics pouvait  entraîner un transfert illégal de données en dehors de l’Europe. Les autorités ont jugé les mesures de conformité de Google Analytics insuffisantes à la suite des enquêtes menées sur l’utilisation de Google Analytics 3. Voici pourquoi →

👉 La réponse de Google: En partie à cause de cette conversation sur l’utilisation de Google Analytics, Google a publié Google Analytics 4 dans une tentative de répondre à certaines des préoccupations.

👉 Devez-vous cesser complètement d’utiliser Google Analytics ?  Il n’y a pas encore de réponse directe car il s’agit d’une affaire en cours de développement. Certaines Autorités, comme le Garante italien, ont déclaré que si vous choisissez de continuer à utiliser Google Analytics, des mesures de sécurité supplémentaires doivent être prises. Google Analytics 4 tente de répondre aux principales préoccupations, mais gardez à l’esprit que, puisque les enquêtes de la APD étaient basées sur Google Analytics 3, il n’y a, à ce jour, aucun moyen de savoir définitivement si les autorités considéreront que l’utilisation de GA4 est suffisante. Plus d’informations sur ce que vous pouvez faire ici → 

What is the legal reasoning behind the Google Analytics decision?

Pour comprendre les décisions les plus récentes qui ont impacté Google Analytics 3, il faut remonter au verdict Schrems II publié par la Cour de justice de l’Union européenne en juillet 2020.

Schrems II a déclaré le « bouclier de protection des données » invalide. Le cadre du « Privacy Shield » autorisait et validait les transferts entre les États-Unis et l’UE. Depuis que ce cadre a été déclaré invalide, tout transfert de données entre l’UE et les États-Unis est interdit, à moins que les participants, tels que les responsables du traitement des données ou les sous-traitants, ne prennent des mesures supplémentaires pour satisfaire aux normes européennes d’adéquation (pour la protection des données).

Vous vous demandez peut-être pourquoi les transferts de données entre l’UE et les États-Unis sont interdits, à moins de prendre des précautions supplémentaires ? La raison en est la CLOUD ACT, qui oblige les entreprises basées aux États-Unis, telles que Google Analytics, à transmettre les données en leur possession, sous leur garde ou sous leur contrôle aux agences gouvernementales américaines, que ces données soient stockées aux États-Unis ou à l’étranger.

Les autorités françaises, autrichiennes, danoises et italiennes chargées de la protection des données (APD) ont constaté que le traitement des données des utilisateurs européens par Google Analytics pouvait entraîner un transfert illégal de données en dehors de l’Europe. Les autorités européennes de protection des données mentionnées ont mené ces enquêtes en collaboration et en réponse à un certain nombre de plaintes.

En conséquence, les autorités ont jugé les mesures de conformité de Google Analytics 3 insuffisantes.

Répartition par pays

Suivez l’évolution de cette jurisprudence et observez les dernières décisions ci-dessous :

Nous mettrons à jour cet article au fur et à mesure de l’évolution de la situation. Dernière mise à jour : 27th June 2022

Le 23 juin 2022, l’APD italienne (Garante) s’est mise d’accord avec les APD française, autrichienne et danoise, en publiant une déclaration ordonnant à toutes les organisations (publiques et privées) de vérifier que leur utilisation des cookies et autres outils de suivi est conforme aux réglementations sur la protection des données, avec une attention particulière pour Google Analytics 3 et les services similaires.

Les sites web qui utilisent Google Analytics 3, *sans les garanties prévues par le règlement européen*, violent la loi sur la protection des données car les données des utilisateurs sont transférées aux États-Unis, un pays sans niveau de protection adéquat.

Key points

👉 Le Garante a fait cette déclaration à l’issue d’une enquête approfondie menée en collaboration avec d’autres autorités européennes de protection de la vie privée et en réponse à un certain nombre de plaintes.

👉 L’enquête a révélé que les organisations utilisant Google Analytics 3 collectent des données, par le biais de cookies, sur la manière dont les utilisateurs interagissent avec ces sites web, y compris les pages spécifiques visitées et les services utilisés.

👉 L’adresse IP de l’appareil de l’utilisateur, les détails concernant le navigateur, le système d’exploitation, la résolution de l’écran, la langue sélectionnée, ainsi que la date et l’heure de visite du site web font partie des nombreuses données recueillies. Il a été souligné dans la décision du Garante que l’adresse IP est une donnée personnelle et que même si elle était abrégée, Google serait toujours en mesure de la lire avec les autres données et capacités dont il dispose. C’est la raison pour laquelle le traitement a été déclaré illégal.

Plus de détails sur la décision du Garante sur Google Analytics ici

La APD francaise (CNIL) a publié un communiqué le 10 février 2022 ordonnant à un gestionnaire de site web français de se conformer au Règlement général sur la protection des données (RGPD) et de cesser d’utiliser Google Analytics 3.

La CNIL a récemment publié  une FAQs à ce sujet. La CNIL a mis en ligne ce document sur son site afin de lever tout doute sur la décision prise le 10 février dernier. Cependant, elle n’a rien ajouté de nouveau à ce qui a déjà été annoncé dans  la décision de l’Autorité.

Points clés

En ce qui concerne les FAQ, il n’y a pas de changements particuliers par rapport à ce que l’Autorité a déjà déclaré dans sa décision du 10.2.2022. Les arguments ont simplement été rapportés de manière plus schématique :

👉 les mesures supplémentaires mises en place par Google Analytics 3 ne sont pas suffisantes pour empêcher l’accès des agences gouvernementales américaines en vertu de la loi CLOUD;

👉 l’exploitant du site web dispose d’un mois pour interrompre le service et opter pour un autre service conforme;

👉 une méthode de proxyfication peut être envisagée, qui permet, lorsqu’elle est correctement configurée, d’envoyer uniquement des données pseudonymisées à un serveur situé en dehors de l’UE.

Le 22 avril 2022, l’autorité autrichienne de protection des données (DSB) a publié une décision dans laquelle elle estime qu’un opérateur de site web européen anonyme a violé l’article 44 du RGPD.

Points clés

👉 Le DSB a expliqué qu’en utilisant Google Analytics 3, l’exploitant du site web a permis à Google LLC d’accéder aux informations relatives au navigateur, aux adresses IP et aux numéros d’identification uniques des utilisateurs.

👉 Bien que l’exploitant du site web ait reconnu que des clauses contractuelles types (CCS) avaient été conclues avec Google LLC,le DSB a déterminé que ces CCS n’offraient pas un niveau de protection acceptable conformément à l’article 44 du RGPD.

👉 Le DSB a déterminé que le chapitre V du RGPD ne pouvait pas être mis en œuvre lors de l’utilisation de Google Analytics 3. L’exploitant du site Internet avait cessé d’utiliser l’outil avant la fin de la procédure de plainte, de sorte qu’il n’a pas été nécessaire d’utiliser ses pouvoirs d’exécution dans ce cas.

The Danish DPA (Datatilsynet), issued a statement after the Austrian DPA, finding that Google Analytics 3 violates the EU General Data Protection Regulation and the previous data transfer decision by the Court of Justice of the European Union.

Key points

👉 On the basis of the Austrian judgment as well as the other expected decisions regarding the use of Google Analytics, the Danish Data Protection Agency plans to prepare a summary, indicative text.

👉Le Datatilsynet a souligné la nécessité pour les autorités de partager une compréhension commune de la décision parce qu’elle

What is different about Google Analytics 4?

En partie à cause de cette conversation autour de l’utilisation de Google Analytics, Google a publié Google Analytics 4 pour tenter de répondre à certaines de ces préoccupations.

  • Dans Google Analytics 4, les adresses IP sont utilisées au moment de la collecte pour déterminer les informations de localisation (pays, ville, latitude et longitude de la ville), puis sont supprimées avant que les données ne soient enregistrées dans un centre de données ou un serveur, comme décrit par Google ici.
  • Google Analytics 4 offrira également des contrôles à un niveau national et des options de personnalisation pour vous permettre de minimiser la collecte de données spécifiques aux utilisateurs.

Pour des informations plus détaillées sur Google Analytics 4, voir ici.

Quelles actions mettre en place ?

Comme il est encore difficile d’évaluer l’impact de la décision sur Google Analytics, il appartient à chaque entreprise de décider des mesures à prendre. 
Étant donné que la question principale est le transfert de données européennes vers les États-Unis et les risques potentiels qu’il comporte, en général, il pourrait être judicieux de

  • passer à une société d’analyse non basée aux États-Unis, ou
  • Si vous choisissez de continuer à utiliser Google Analytics, vous devez passer à GA4* et mettre en œuvre des mesures supplémentaires à l’aide des paramètres disponibles.

*Veuillez toutefois noter que les enquêtes de la APD étant basées sur Google Analytics 3, il n’y a pas encore de moyen de savoir définitivement si les autorités considéreront l’utilisation de GA4 comme suffisante.

Si vous choisissez de continuer à utiliser Google Analytics, voici quelques mesures que vous pouvez prendre pour vous rapprocher de la conformité :

  1. Vous pouvez limiter la collecte de données en utilisant les contrôles de confidentialité étendus de Google, allant de la restriction des fonctionnalités publicitaires à la désactivation complète de la collecte de données. 
  2. Une évaluation interne de Google Analytics peut être utilisée pour déterminer si certaines ou toutes les mesures sont appropriées pour votre entreprise. Google Analytics 4 offre désormais la possibilité de : désactiver la collecte des données de Google Signals en fonction de la zone géographique, et désactiver la collecte de données granulaires portant sur la localisation.
  3. A la lumière de la CNIL  et de sa FAQ sur le sujet, il est utile de mentionner les serveurs proxy. Utilisation d’un serveur proxy pour éviter le contact direct entre l’ordinateur de l’utilisateur et Google Analytics peut être possible.

FAQs

Les autorités chargées de la protection des données ont constaté que les transferts de données vers les États-Unis n’ont pas les mêmes normes de protection que dans l’UE.

.

La situation découle d’un ensemble de lois américaines qui permettent aux organisations gouvernementales de demander l’accès aux données personnelles des consommateurs auprès de services basés aux États-Unis, quel que soit le lieu où se trouvent les centres de données ou les serveurs.

Dans ce contexte, L’ORD a déposé 101 plaintes auprès des autorités européennes de protection des données afin de constater l’illégitimité du transfert des données des utilisateurs européens vers les États-Unis. Les décisions, qui ont constaté l’illégitimité des transferts, se concentrent sur l’analyse de mesures techniques, contractuelles et organisationnelles supplémentaires.

L’utilisation d’une clé de cryptage par la société en question a été jugée insuffisante car la clé était détenue par Google LLC. Il en découle que tant que la clé de chiffrement reste accessible à l’importateur (en l’occurrence, Google Analytics), les mesures prises ne peuvent être considérées comme appropriées.

En outre, les mesures contractuelles et organisationnelles ne sont pas évaluées car les autres sont toujours considérées comme insuffisantes en l’absence de mesures techniques.

Sur la base des décisions rendues jusqu’à présent, nous pouvons supposer que les conséquences juridiques possibles sont les suivantes :

  1. Réception d’un ordre d’identifier des mesures techniques supplémentaires dans un délai de 60 (CNIL) ou 90 jours (Garante).
  2. Réception d’un ordre d’interrompre le service et de le remplacer par un autre.

Veuillez noter qu’à ce jour, aucune sanction économique n’a été prise pour l’utilisation de Google Analytics.

*Comme toujours, nous suivons l’évolution de cette affaire et nous tiendrons cet article à jour avec les derniers développements. Ajoutez cet article à vos favoris pour être sûr de ne pas manquer une mise à jour !