04
Avr
2022
Mise en demeure de Google Analytics par la CNIL, on fait le point
[article publié en février 2022 – mis à jour le 4 avril 2023]
Les équipes de Soledis sont en veille : une actualité secoue le monde du webmarketing depuis début 2022. Google Analytics va-t-il être interdit en Europe ? Nos données sont-elles en danger ? Faut-il changer d’outil de tracking dès aujourd’hui ? Quelles conséquences ?
On fait le point sur ce sujet brûlant !
Rappel des faits
- Le 16 juillet 2020, la Cour de justice de l’Union Européenne (CJUE) publie l’arrêt Schrems II qui invalide le Privacy Shield, considérant qu’il existe un risque que les services de renseignements américains accèdent aux données personnelles transférées aux Etats-Unis (du fait de la loi FISA et de pratiques déjà connues de la NSA), si ces transferts ne sont pas correctement encadrés. Cela est contraire à la réglementation européenne RGPD.
- Depuis, l’UE et les Etats-Unis se sont engagés à trouver un accord pour encadrer ces transferts de données.
Liste des sites web français visés par une plainte de l’association NOYB pour des transferts de données vers les Etats-Unis. (source : site NOYB) - Dans les mois qui suivent, l’association NOYB «My Privacy is None of Your Business » porte plainte 101 fois dans les 27 états membres de l’UE pour des transferts de données vers les Etats-Unis.
- En janvier 2022, la DSB, équivalent de la CNIL en Autriche publie une mise en demeure d’un éditeur web local en accusant Google Analytics de ne pas être compatible avec la RGPD.
- Le 4 février 2022, Google répond par un communiqué en reportant la responsabilité sur l’Etat américain qui doit effectivement trouver un accord avec l’UE concernant l’exploitation des données. Google s’engage également à ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques recueillies pour ainsi se mettre en conformité.
- Le 10 février 2022, c’est au tour de la CNIL, en France de mettre en demeure un gestionnaire de site web en considérant l’utilisation de Google Analytics comme illégale. D’autres condamnations ailleurs en Europe devraient suivre. Google a un mois pour se mettre en conformité.
- Le 25 mars 2022, La Commission européenne et les États-Unis annoncent dans un communiqué de presse un accord de principe sur un nouveau cadre transatlantique de protection des données personnelles, qui favorisera les flux de données transatlantiques et répondra aux préoccupations exprimées par les institutions européennes. Ce n’est à ce stade qu’une déclaration politique et non encore un cadre juridique, comme le précise le Comité Européen pour la Protection des Données (CEPD) dans sa déclaration du 6 avril.
- En juin 2022, alors que l’Italie épingle Google Analytics à son tour et que le bloggeur, David Libeau porte plainte contre 42 médias français pour leur utilisation de Google Analytics, la CNIL publie un guide pour expliquer comment rajouter un proxy à l’utilisation de Google Analytics pour être en conformité avec le droit Européen.
- En septembre 2022, le Danemark condamne à son tour l’usage de Google Analytics en Europe.
- En janvier 2023, c’est au tour de la Finlande de condamner les bibliothèques du réseau HELMET pour leur utilisation de Google Analytics.
Et maintenant ?
- Soit le remplacement de Universal Analytics par Google Analytics 4 remplit aux obligations de la CNIL (c’est l’objectif de Google)
- Soit Google Analytics est interdit en Europe et des alternatives locales prennent sa place. La CNIL a publié une liste d’alternatives respectant la RGPD qui peuvent donc se passer du consentement de l’utilisateur (le fameux « acceptez-vous les cookies ? » très largement refusé par les internautes). A noter que Soledis travaille également avec Matomo, si vous choisissez cette alternative recommandée par na CNIL.
- Si le bras de fer se prolonge, à noter que la loi RGPD prévoit une amende qui peut aller jusqu’à 20 millions d’euros ou 4% du CA de l’entreprise coupable. Pour l’instant, la CNIL n’est pas dans un esprit de condamnation mais d’avertissement avec un délai de mise en conformité.
4 liens pour aller plus loin :
- Comme souvent, voici un article du blog Abondance par Olivier Andrieu qui résume bien la situation .
- Pour en savoir plus sur le point de vue de Google, voici une tribune de Kent Walker, l’un des dirigeants.
- Pour bien comprendre la position de la CNIL, nous vous recommandons leur FAQ sur le sujet.
- Voici un thread Tweet de @Pixeldetracking qui démonte l’accusation de la CNIL.
Quelle que soit l’issue de la relation de Google avec la CNIL, sachez que les équipes webmarketing de Soledis travaillent à la fois avec Google Analytics et avec Matomo, alternative recommandée par la CNIL, en fonction du choix du client.
