Recevez chaque jour toute l'actualité du numérique

x

Impossible de paramétrer Google Analytics pour le rendre conforme au RGPD, prévient la Cnil

Aucune mesure actuellement proposée par Google ne permet de rendre légal le recours à Google Analytics, tranche la Cnil. En effet, ni le chiffrement ni la pseudonymisation ni les clauses contractuelles types ne permettent de s'assurer que les données personnelles ne seront pas transférées vers les Etats-Unis. Un pays où les autorités ont le pouvoir d'exiger une divulgation des données par les entreprises technologies nationales, comme Google. 
Twitter Facebook Linkedin Flipboard Email
×

Impossible de paramétrer Google Analytics pour le rendre conforme au RGPD, prévient la Cnil
Impossible de paramétrer Google Analytics pour le rendre conforme au RGPD, prévient la Cnil © Unsplash

Dans une session de questions - réponses publiée le 7 juin sur son site, la Commission nationale de l'informatique et des libertés (Cnil) ferme presque toutes les portes à l'utilisation de Google Analytics en France. Ce service d'analyse des audiences des sites web, utilisé par la très grande majorité des administrateurs de site web, a été jugé non conforme au Règlement général sur la protection des données (RGPD) en février dernier par l'autorité française. Ce faisant, elle suivait les pas de son homologue autrichien

En cause : le transfert de données personnelles vers les Etats-Unis, pays avec lequel l'Union européenne n'a plus de décision d'adéquation depuis l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne (CJUE) en juillet 2020. La signature d'un nouvel accord politique ne constitue pas une nouvelle décision, rappelle la Cnil. 
 

Tous les responsables de traitement concernés

Cette décision avait suscité beaucoup d'inquiétudes. En effet, elle oblige tous les responsables de traitement à revoir leurs pratiques sous peine d'être sanctionné par la Cnil. A ce titre, elle rappelle qu'un fois mis en demeure, ils ont un mois pour se mettre en conformité en se tournant vers "un prestataire proposant des garanties suffisantes de conformité". 

L'autorité française se montre très ferme en jugeant qu'il n'est pas possible de paramétrer Google de façon à ne pas transférer de données personnelles en dehors de l'UE. En effet, "le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d'accès aux données". Comme c'est le cas aux Etats-Unis, les entreprises technologies, telle que Google, peuvent être obligées à divulguer des informations sur ses utilisateurs par les autorités judiciaires. 
 

La pseudonymisation, une mesure insuffisante

Il n'est pas non plus possible de justifier le recours à Google Analytics en avançant que les données transférées sont anonymisées, ajoute l'autorité française. En effet, Google prévoit de mesures de pseudonymisation et non d'anonymisation. La différence étant que le premier est réversible. "La seule utilisation d’identifiants uniques permettant de différencier les individus peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation", note la Commission. En l'espèce, l’utilisation conjointe de Google Analytics avec d’autres services de Google, notamment de marketing, peut amplifier le risque de suivi.

Même conclusion pour le chiffrement. C'est une mesure considérée comme insuffisante si l'organisme soumis aux autorités peut accéder aux données en clair. C'est le cas de Google puisqu'il procède lui-même au chiffrement a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. 
 

La possibilité de recourir à un proxy sous conditions

Par conséquent, aucune des garanties supplémentaires présentées à la Cnil dans le cadre de la mise en demeure ne permettrait d’empêcher ou de rendre ineffectif l’accès des services de renseignements états-uniens aux données personnelles des utilisateurs européens lors de l’usage du seul outil Google Analytics. Le recours à un proxy – pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure – peut être envisageable, tempère l'autorité française. Le serveur concerné devra cependant respecter le cadre instauré par le Comité européen de la protection des données.

L'utilisation de services américains par des entreprises et organismes publics européens semble de plus en plus compromise. En mai dernier, la Cnil avait demandé aux établissements de l'enseignement supérieur de la recherche de ne plus utiliser d'outils collaboratifs proposés par des entreprises américaines, craignant pour la confidentialité des données. Nadi Bou Hanna, le directeur interministériel du numérique, avait déclaré de son côté que l'offre Microsoft 365 (anciennement Office 365) n'était pas conforme à la doctrine gouvernementale "Cloud au centre".
 

Les licences franco-américaine, la solution miracle ?

Cette situation pousse donc les entreprises et entités publiques à migrer vers des solutions commercialisées par des acteurs français ou européens. Autre possibilité : les futures licences accordées aux géants américains par des entreprises françaises, sur le modèle de Thales et Google ou Microsoft et Orange. Elles devraient, d'après le gouvernement, protéger les données des lois américaines. Là encore, le doute est largement permis.

Interrogé sur ce sujet par L'Usine Digitale, l'ancien secrétaire d'Etat Cédric O avait admis que la situation technico-juridique était particulièrement complexe mais refusait d'obliger les entreprises à se tourner exclusivement vers des acteurs français. "Il revient aux grands groupes français de faire leur choix entre OVHcloud, Outscale ou de passer par une coentreprise de Microsoft, Capgemini et Orange. C’est leur décision", arguait-il. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.