PME et cybermenaces : comment répondre aux nouveaux défis avec Fortinet ?

La CNIL remet en cause l’usage de Google Analytics

Le 13 janvier, l’autorité autrichienne de la protection des données a déclaré indésirable, voir illégale l’usage de Google Analytics, par rapport au règlement RGPD. Jeudi dernier, le CNIL français a rendu un verdict équivalent, considérant que l’usage de Google Analytics par un site web représentait une violation de plusieurs articles du RGPD.

Google Analytics dans le viseur de la CNIL

En 2020, la Cour de justice de l’union européenne avait estimé que le transfert de données provenant de pays de l’Union européenne vers les Etats-Unis ne protégeait pas suffisamment les citoyens européens. La cour craignait notamment l’accès aux données personnelles par les services de renseignement américains.

C’est sur cette décision que la CNIL s’est appuyée pour estimer que l’usage de Google Analytics constituait une violation du RGPD.

Elle a par ailleurs laissé au site un délai d’un mois afin de se mettre en conformité avec la réglementation. Les noms des sites visés n’ont pas été dévoilés par la CNIL, mais les documents de NOYB montrent qu’il s’agissait probablement de Decathlon, Auchan, et Sephora.

Cette décision fait suite à plusieurs plaintes (101) déposées par l’association NOYB (My privacy is not your business) devant les différents régulateurs des pays européens, à propos des transferts de données vers les Etats-Unis.

Avant la France, les autorités autrichiennes et Néerlandaises avaient déjà donné raison à l’association NOYB. Google avait alors réagi par l’intermédiaire de Kent Walker, son responsable mondial des affaires publiques, en déclarant que « Google offre des outils de mesure d’audience depuis plus de quinze ans à des entreprises du monde entier. Et depuis tout ce temps, nous n’avons pas une seule fois reçu le type de demande [des autorités américaines] sur laquelle spécule [la DSB]. Et nous ne nous attendons pas à en recevoir, car ce genre de requête aurait peu de chance de rentrer dans l’objet très restreint de la loi américaine. »

La CNIL estime cependant que Google n’est pas responsable : c’est aux éditeurs de site web de ne pas utiliser cet outil.

Quelles conséquences ?

Pour l’instant, les sites mis en demeure se comptent sur les doigts d’une main. Toutefois, il se pourrait que cette décision devienne générale à l’avenir. Dans ce cas, Google devrait soit revoir le fonctionnement de son outil, pour que les données des utilisateurs ne soient plus associées à leur adresse IP, soit renoncer au marché européen. La firme américaine a précisé qu’une communication à ce sujet sera apportée dans les semaines à venir.

En attendant, vous pouvez toujours utiliser d’autres alternatives respectant la réglementation RGPD. Par exemple Matomo, ou encore AT Internet, qui sont des outils d’analyses de l’audience respectueux de la vie privée.

Sachez enfin qu’il existe une liste officielle des solutions de mesure d’audience validées par la CNIL.

L’avis de Pérenne’IT

En attendant de voir la réaction de Google, et un potentiel changement dans leur politique de récupérations des données pour l’Europe, il serait peut-être préférable d’utiliser une alternative plus respectueuse de la vie privée des utilisateurs de votre site.

Par ailleurs, si vous désirez être sûr de respecter la réglementation RGPD, sachez que Pérenne’IT propose de faire un état des lieux de votre conformité RGPD.