Accueil > Marques & Agences > La Cnil confirme que la configuration actuelle de Google Analytics est contraire au RGPD La Cnil confirme que la configuration actuelle de Google Analytics est contraire au RGPD L'autorité de protection de la vie privée constate que l'invalidation du Privacy Shield en 2020 rend non conforme au RGPD l'outil de Google pour mesurer la fréquentation des sites web. Par Jean-Michel De Marchi. Publié le 10 février 2022 à 17h29 - Mis à jour le 13 février 2022 à 15h06 Ressources L’absence de conformité de Google Analytics au RGPD était implicite pour le secteur des médias et de la publicité en ligne ; elle devient officielle. Saisie à l’occasion de plusieurs plaintes déposées à l’été 2020 par l’association activiste Noyb, présidée par Max Schrems, concernant le transfert vers les États-Unis de données collectées lors d’une visite sur un sites web utilisant Google Analytics, la Cnil s’est prononcée en sens. L’organe a publié mercredi 10 février une mise en demeure d’un “gestionnaire de site web français” – non cité – dans laquelle elle juge le fonctionnement de l’outil de Google pour mesurer la fréquentation des sites désormais non conforme au RGPD. L’usage de Google Analytics par un site web prévoit en effet la création d’un identifiant unique attribué à chacun de ses visiteurs ; identifiant qui constitue une donnée personnelle, rappelle la Cnil. Dans la configuration actuelle de Google Analytics, la pseudonymisation appliquée est jugée insuffisante ; les données transférées aux Etats-Unis peuvent être recomposées pour identifier les internautes individuellement. Un constat qui enfreint les règles de licéité des transferts de données en dehors de l’Union européenne. Dans une décision rendue mi-janvier relative à un site de santé local, l’autorité autrichienne de protection des données personnelles, la Datenschutzbehörde (DSB) est parvenu aux mêmes conclusions. La CNIL indique d’ailleurs avoir examiné la plainte de Noyb “en coopération avec ses homologues européens”. En Autriche aussi Saisie pour une plainte identique de Noyb, l’autorité autrichienne de protection des données personnelles, la Datenschutzbehörde (DSB), avait déjà, le 13 janvier, souligné la non conformité de Google Analytics au RGPD. L’autorité relevait qu’en visitant un site web utilisant Google Analytics, un numéro unique est attribué au navigateur web de l’internaute. Il est alors possible d’associer ce numéro avec d’autres informations, comme l’adresse IP et d’autres données issues du navigateur. Cette association peut permettre de générer un identifiant unique attribué à un utilisateur du navigateur, permettant de l’identifier notamment “par les agences de renseignements américaines”. La fin du Privacy Shield laisse un vide juridique Dans leurs communications, les organes de protection des données personnelles tirent ici les conséquences de la fin du Privacy Shield. Cet accord cadre, sur lequel les entreprises – particulièrement les grandes plateformes américaines – s’appuient pour transférer les données issues de leurs activités dans l’Union européenne vers les États-Unis, a été invalidé en juillet 2020 par la Cour de justice de l’Union européenne (CJUE). Le tribunal européen avait expressément pointé le risque que les services de renseignement américains accèdent aux données personnelles des ressortissants de l’Union européenne qui sont transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés. Aucun substitut au Privacy Shield n’a depuis été mis en place. Dans sa prise de position du 10 février, la Cnil conclut que les transferts de données réalisés par Google Analytics vers les États-Unis ne sont donc plus suffisamment fondés juridiquement. Si l’organe constate que Google a adopté “des mesures supplémentaires” pour encadrer ces transferts de données lors de l’usage de Google Analytics – le groupe avait déjà apporté des modifications au printemps 2021 pour tenter d’intégrer les exceptions de consentement, sans succès – “celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données”. La Cnil constate que les données des internautes “sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.” Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, “si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE.” Le gestionnaire de site incriminé par la Cnil dispose d’un mois pour se mettre en conformité. Facebook Connect également concerné Des décisions similaires vont être annoncées ces prochains jours et semaines par les autorités de protection des données en France et dans d’autres pays européens. Le site web concerné par la décision de la Cnil n’est pas nommé, mais il s’agit de Decathlon.fr, Sephora.fr ou Auchan.fr. En août 2020, l’association Noyb avait en effet déposé 101 plaintes visant les sites web de 30 Etats membres de l’Union européenne. En France, six éditeurs de sites sont visés : Auchan, Decathlon et Sephora pour l’usage de Google Analytics, et le Huff Post (Groupe Le Monde), Leroy Merlin et Free (concernant mobile.free.fr) pour l’usage de Facebook Connect, outil transférant lui aussi des données aux Etats-Unis. Noyb reproche à ces sites, choisis au hasard, d’avoir continué à utiliser Google Analytics et Facebook Connect, deux outils dont leur propriétaire, Google et Facebook, recueillent et transmettent des données sur leurs visiteurs de l’Union européenne vers les Etats-Unis, malgré l’invalidation du Privacy Shield en juin 2020. Guide contractuel du RGPD Valérie Chavanne, avocate et fondatrice du cabinet LegalUP Consulting, a rédigé pour mind Media un guide en quatre volets, destiné aux professionnels de la publicité en ligne, sur les évolutions réglementaires posées par le RGPD, leurs impacts sur la sphère contractuelle ainsi que les enjeux associés. 1/4 – Qualification des acteurs : le “qui suis-je ?” juridique essentiel pour vos contrats (en ligne ici) 2/4 – RGPD : les nouvelles mentions obligatoires selon votre qualité (en ligne ici) 3/4 – Les transferts transfrontaliers de données dans vos contrats (en ligne ici) 4/4 – Comment utiliser la conformité comme levier de croissance (en ligne ici) Interrogé par mind Media, la Cnil confirme le caractère général de sa décision : “L’invalidation du Privacy Shield a eu pour conséquence de rendre illégaux les transferts de données personnelles vers les Etats-Unis. Le niveau de protection des données n’était pas suffisant pour empêcher l’accès à ces données par les services de renseignements américains. Une grande partie des gestionnaires de sites web français utilisent la fonctionnalité Google Analytics et procèdent donc à des transferts illégaux de données personnelles vers les Etats-Unis. Il est donc essentiel que la CNIL et les autres autorités européennes prennent position sur le transfert des données opéré par Google Analytics et signalent son caractère illégal.” Un nouvel accord UE-Etats-Unis semble illusoire à court terme Sollicité sur le fait d’envisager l’hébergement en Europe des données des utilisateurs européens collectée par Google Analytics, Google nous a indiqué ne pas étudier cette piste. Le groupe demande dans l’immédiat aux autorités politiques un nouveau cadre réglementaire, autrement dit la mise en place d’un nouvel accord de transfert de données entre l’Union européenne et les Etats-Unis, remplaçant le Privacy Shield. Kent Walker, directeur mondial des affaires publiques de Google s’est exprimé en ce sens sur le blog du groupe dès le 19 janvier : “Les entreprises, tant en Europe qu’aux États-Unis, attendent de la Commission européenne et du ministère américain du commerce qu’ils finalisent rapidement un accord succédant au Privacy Shield et permettant de résoudre ces problèmes”. Selon le Wall Street Journal, des pourparlers ont été entamés en septembre 2021 entre les autorités européennes et américaines. Mais ces discussions restent au stade préliminaire. Un nouvel accord prendra vraisemblablement encore de longs mois, voire des années, notamment du fait qu’un ajustement des lois américaines concernant les autorisations accordées aux agences de renseignement pour accéder aux données des entreprises semble nécessaire. D’ici-là, l’ensemble des éditeurs de sites web de l’Union européenne, marchands comme non marchands, doivent théoriquement cesser d’utiliser Google Analytics dans sa configuration actuelle. Une gageure, tant l’outil est largement déployé sur les sites en ligne, dans sa version gratuite ou payante, aussi bien par les médias d’informations, les e-commerçants que les marques annonceurs. L’usage de Google Analytics engage désormais la responsabilité juridique de chacun des gestionnaires des sites sur lesquels il est installé, tandis que Google pourrait être considéré comme co-responsable du traitement des données. Il en est de même pour l’usage de Facebook Connect et pour la situation de Facebook. Des alternatives à Google Analytics existent. La Cnil a d’ailleurs mis en place un programme de certification des solutions de mesure “pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil du consentement”, et ainsi être conformes au RGPD. En date du 10 février 2022, une quinzaine d’outils sont certifiés, dont ceux d’AT Internet, Piwik Pro, Matomo, Eulerian Technologies et Marfeel. Jean-Michel De Marchi CNILEtats-UnisMesure médiaRéglementationRGPDSites d'actualitéStratégies annonceurs Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire Tribunes gratuit Guide contractuel du RGPD (1/4) - Qualification des acteurs : le "qui suis-je ?" juridique essentiel pour vos contrats Tribunes gratuit Guide contractuel du RGPD (2/4) - Nouvelles obligations, nouvelles dispositions contractuelles : les ajouts essentiels attachés à votre qualité Tribunes gratuit Guide contractuel du RGPD (3/4) - Comprendre et gérer les transferts transfrontaliers de données Tribunes gratuit Guide contractuel du RGPD (4/4) - Comment utiliser la conformité comme levier de croissance Dossiers RGPD : l'intérêt légitime invoqué par des acteurs publicitaires pour se passer du consentement des internautes Meta menace de fermer Facebook et Instagram dans l’Union européenne Le triopole assoit sa domination sur le marché publicitaire numérique en 2021 Analyses Dossiers Google accusé de truquer le marché publicitaire en ligne : de nouveaux éléments mettent en cause son système d'enchères programmatiques La Cnil belge inflige une amende de 250 000 euros à l’IAB Europe pour violation du RGPD via le TCF Cookies : le Conseil d’État confirme la compétence de la Cnil en dehors du guichet unique Dépôt de cookies : Google conteste l’amende de la Cnil devant le Conseil d’Etat Cookies : la Cnil inflige 150 millions d’euros à Facebook et 60 millions à Google RGPD : la Cnil irlandaise accusée de compromission avec Facebook En Irlande, la Cnil inflige 225 millions d’euros d’amende à WhatsApp Au Luxembourg, l'autorité de protection des données inflige 746 millions d'euros d'amende à Amazon 41 % des internautes refusaient systématiquement ou partiellement le dépôt de cookies en juin 2021 selon une étude 366-Kantar essentiels Nos synthèses et chiffres sur les principales thématiques du marché Les mutations du search à l'ère de l'IA générative L'application inaboutie de la loi sur les droits voisins Google vs DOJ : tout ce qu'il faut savoir sur le procès qui pourrait redéfinir l'adtech L’essentiel sur les identifiants publicitaires La transformation du marché publicitaire en 2024 2023 : le marché publicitaire doit se préparer à la fin du tracking utilisateur Comment l’intelligence artificielle générative bouleverse les médias Les enjeux réglementaires des médias en 2023 analyses Les articles d'approfondissement réalisés par la rédaction Adtech : pourquoi la Commission européenne sanctionne Google de près de 3 milliards d’euros Retail media : une consolidation indispensable des régies pour répondre aux attentes des acheteurs publicitaires IA et monétisation des contenus : comment l’IAB Tech Lab veut contrôler les robots crawlers Droits voisins : l’Apig veut introduire une plainte contre Meta devant l'Autorité de la concurrence Paul Boulangé (Starcom France) : "Nous sommes en train de déployer Captiv8 en France, notre solution d'automatisation du marketing d'influence" Claire Léost devient DG de CMA Média, WPP Media promeut Stéphanie Robelus… Comment les SSP généralistes investissent le secteur du retail media Bénédicte Wautelet (Le Figaro) : “Toute solution qui utilise de l’IA en rapport avec nos contenus doit y être autorisée et nous rémunérer” Aides à la presse : combien les éditeurs ont-ils perçu en 2024 ? Le New York Times affiche toujours une croissance très robuste portée par le numérique data Les baromètres, panoramas et chiffres sur l'évolution du marché Le classement des éditeurs français qui ont le plus d'abonnés purs numériques Les données récoltées par les acteurs de la publicité en ligne La liste des sociétés présentes dans les fichiers ads.txt des éditeurs français Les gains de budget des agences médias Opt-out : quels éditeurs français interdisent les robots crawlers de l'IA générative ? Le panorama des sociétés spécialisées dans les technologies de l’e-retail media La liste des outils utilisés par les équipes éditoriales, marketing et techniques des éditeurs français Le détail des aides à la presse, année par année La liste des CMP choisies par les principaux médias en France Digital Ad Trust : quels sites ont été labellisés, pour quelles vagues et sur quel périmètre ?
