La semaine dernière une nouvelle a secoué le monde de l’analytics : la CNIL a déclaré que les conditions de transferts des données de Google Analytics vers les Etats-Unis sont illégales. A cause de la loi CLOUD Act, les instances judiciaires aux Etats-Unis peuvent demander aux fournisseurs des services américains (comme Google) de fournir les données numériques. Cela entraîne un véritable problème au niveau RGPD, ce qu’on peut comprendre.
Vos données sont-elles collectées via Google Analytics ? Est-ce que cette déclaration de la CNIL va-t-elle vous impacter ? Dans cet article nous vous expliquons le problème de fond, les répercussions et comment continuer à collecter vos données.
Contexte : le transfert des données de Google Analytics aux Etats-Unis
Suite aux plaintes d’une association autrichienne (NOYB), la CNIL a mis en demeure un gestionnaire de site web de supprimer Google Analytics à cause du traitement des données personnelles. Mais, est-ce que ce traitement des données personnelles est vraiment illégal ?
D’abord, il faut préciser plusieurs points. Contrairement à ce qu’on peut penser, les transferts de données personnelles en dehors de l’Union européenne sont autorisés par le RGPD ! Il suffit que la protection des données soit identique dans ce pays tiers.
En principe, le transfert de données vers les Etats-Unis devrait être possible. La CNIL mentionne également que l’utilisation du privacy shield – accord pour le transfert des données personnelles entre l’UE et les États-Unis – n’est plus valide. Toutefois, il convient de noter qu’aujourd’hui les organisations font le transfert de données personnelles via les clauses contractuelles types (CCP) et non via le privacy shield. Ces clauses ont été créées par la Commission européenne et même la CNIL reconnaît ces clauses, il faut juste pouvoir garantir le même niveau de protection que dans l’UE.
Dans Google Analytics il est tout à fait possible d’utiliser ces clauses contractuelles. De plus, Google Analytics anonymise les IP par défaut dans GA4 et le prévoit en option dans Universal Analytics, ce qui pourrait garantir une majeure protection des données personnelles.
Quel est l’impact de déclarer le transfert des données de Google Analytics illégal ?
Si la CNIL déclare illégales les conditions de transfert des données personnelles de Google Analytics, il serait judicieux de penser que cette décision peut également affecter d’autres services web.
Environ 80% des sites français utilisent Google Analytics comme outil de tracking, mais qu’en est-il des 20% restants ? La plupart sont sur des solutions comme Adobe Analytics ou AT Internet, des solutions également américaines, donc potentiellement susceptibles d’être impactées par cette décision de la CNIL. A noter qu’AT Internet se défend de pouvoir être impacté par cette décision.
Mais le problème ne s’arrête pas là, puisqu’on peut aussi se demander ce qu’il advient des données des sites dont les serveurs sont dans AWS (Amazon) ; ou de solutions CRM (telles que SalesForce ou HubSpot) qui disposent de données personnelles beaucoup plus sensibles que Google Analytics.
Tous ces logiciels/outils seront-ils concernés par la décision de la CNIL ? Ce n’est pas encore très clair, mais si c’est le cas, la CNIL ne se rend pas compte de l’impact que sa décision peut avoir sur le marché digital français. Ces mesures ne vont-elles pas ériger un mur entre les services cloud de la France et des autres pays, notamment les États-Unis ?
Comment continuer à utiliser Google Analytics suite à la décision de la CNIL ?
A ce stade vous vous posez probablement la question, puis-je encore utiliser Google Analytics ? La réponse est oui.
Notre conseil est de passer par GTM server side, qui permet d’envoyer les données via un serveur (qui n’est pas forcément hébergé par Google) sur lequel vous avez le contrôle. Cela veut dire que les données collectées ne seront pas envoyées directement à Google et elles vont passer d’abord par ce serveur qui vous appartient.
L’avantage de rajouter cette couche est que vous pouvez décider quelles données vous envoyez, comment elles sont envoyées et où. Par conséquent, vous pouvez facilement anonymiser les adresses IP avant d’envoyer les données à Google. En outre, vous pouvez directement streamer les données collectées vers un data warehouse, comme BigQuery, dont le stockage est possible en Europe.
D’un autre côté, Google ne va pas rester les bras croisés. Google et la CNIL trouveront sûrement un accord qui permettra toujours l’utilisation de Google Analytics tout en respectant le traitement des données personnelles établi par l’UE.
Conclusion
La décision de la CNIL de mettre en demeure un gestionnaire de site web de supprimer Google Analytics est plutôt une question politique sur le traitement des données entre la France et les Etats-Unis. Il y a encore beaucoup de questions sur la déclaration de la CNIL qui reste, parfois, un peu vague ; et nous ne savons pas encore quels autres services pourront être impactés.
Ce qui est certain, cependant, c’est que de plus en plus, nous organiserons nous-mêmes la collecte des données. L’utilisation de GTM server side + le stockage de données dans un data warehouse vont vous permettre de bien contrôler vos données, tout en respectant le RGPD. Cela va sûrement prendre un peu plus de temps, mais c’est un premier pas dans la construction solide de votre capital de données.
Keep calm and collect your data.
Articles de référence :
Déclaration de la CNIL
La CNIL impose-t-elle de supprimer Google Analytics ?
Documentation Google