Google Analytics est-il légal en Europe ?

Le contexte réglementaire Européen simplifié

Les deux sujets principaux côté réglementation Européenne sont :

• Le RGPD qui exige la demande de consentement pour utiliser des cookies ou traceurs. Une partie de l'audience ne sera donc pas tracée du tout si elle n'a pas accepté le suivi.

• La directive ePrivacy qui concerne le transfert de données personnelles aux États-Unis. Ici il peut être nécessaire de supprimer Google Analytics pour éviter une violation.

Updates récentes

🆕 10 juillet 2023 la Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis, reconnaissant que les 🇺🇸 États-Unis garantissent désormais un niveau de protection équivalent à celui de l'Union européenne pour les transferts de données personnelles. GA4 n’est donc a priori plus dans le viseur des autorités et légal d’utilisation.

La CNIL a implicitement donné son avis sur la question en redirigeant toutes les pages de son site qui mentionnaient, de près ou de loin, l'illégalité de Google Analytics 4 vers cette page (qui confirme sa légalité) :

Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation Le 10 juillet 2023,

❗️Attention cependant de rester vigilant quant à la confidentialité des données et de prendre des mesures appropriées comme la proxification, pour garantir la conformité aux réglementations en matière de protection des données.

Un arbitrage des pays Européens contre Google Analytics

L'Union européenne exige que les entreprises traitent les données personnelles des utilisateurs de manière légale, équitable et transparente.

🇪🇺 En Europe, l'utilisation de Google Analytics est présumée autorisée ✅ à condition que son utilisation soit conforme au Règlement Général sur la Protection des Données.

⚠️ Certains pays Europpéens ont cependant arbitré en défaveur de l’utilisation de Google Analytics dans sa configuration standard, en raison de problèmes de conformité avec la RGPD selon leur interprétation. C’est le cas de l’Autriche 🇦🇹, l’Italie 🇮🇹, la France 🇫🇷 et les Pays-Bas 🇳🇱.

Dans tous les cas, les propriétaires de sites web doivent obtenir le consentement des utilisateurs 🍪 et prendre des mesures pour protéger leur vie privée (anonymisation des données personnelles). Ils doivent fournir aux utilisateurs des informations détaillées sur la collecte et l'utilisation des données via Google Analytics.

☝ Remarques
1. Aucune entreprise française 🇫🇷 n’a été encore sanctionnée pour l’utilisation de Google Analytics.
‍2. Vous pouvez “proxifier” Google Analytics en server-side pour répondre aux exigences de la CNIL.

Les principales raisons qui posent problème à la CNIL

Le problème des adresses IP avant GA4

Google Analytics ne stocke pas les adresses IP individuelles, mais les données sont transférées aux États-Unis pour traitement, permettant ainsi de déterminer la géolocalisation des utilisateurs. La fonctionnalité de pseudonymisation des IPs masque seulement les deux derniers chiffres, ce qui est insuffisant pour deux raisons :

• La pseudonymisation est effectuée après transfert, ce qui ne résout pas le problème.

• La pseudonymisation est réversible, donc il est préférable d'opter pour l'anonymisation en fournissant une nouvelle adresse IP.

La CNIL refuse que Google transfère les adresses IP aux USA, malgré l'engagement de Google à les supprimer ou les anonymiser immédiatement après réception.

☝️ Google a mis à jour GA4 pour arrêter les transferts d'adresses IP en dehors de l'UE.

Anonymisation ou pseudonymisation du client_id n’est pas suffisante

La CNIL craint que Google puisse ré-identifier les utilisateurs en croisant plusieurs sources d'informations, ce qui est raisonnable quand on connaît les capacités de Google.

💡 Cependant il est possible de mettre en place un proxy pour accomplir tout le travail de pseudonymisation et d’anonymisation en amont, donc AVANT tout export aux USA.Voir : Proxyfication de Google Analytics : une bonne idée ?

Alors quelles sont vos options ?

En résumé Google Analytics, y compris donc GA4 est donc interdit dans sa configuration actuelle, en raison des transferts de données vers les États-Unis.

1. Ne rien faire

Ne rien faire, simplement migrer sur GA4 et respecter le consentement utilisateur avec une CMP bien paramétrée. En réalité le risque est faible et vous disposez toujours d’un délai d’un mois pour vous mettre en conformité.

2. Implémenter Google analytics avec les recommandations de la CNIL

Migrez vers GA4 uniquement et en server-side en minimisant les données à caractère personnelles. Si la CNIL envoie des mises en demeure automatiques pour l'utilisation du script Google Analytics, vous pourriez passer à travers.

Si la CNIL vous contrôle, vous pourrez vous défendre en arguant que vous êtes en train de déployer une solution conforme à leurs recommandations et en montrant “patte blanche”. Vous aurez toujours le délai d’un mois pour vous conformer.

3. Proxifier Google analytics

La seule façon de se conformer et continuer à utiliser GA serait d'utiliser un proxy pour masquer les données avant de les envoyer à Google Analytics.

Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? | CNIL

La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l’Union européenne et les États-Unis.

→ Voir aussi notre article Proxyfication de Google Analytics : une bonne idée ?

4. Remplacer Google analytics

Enfin il existe des alternatives possibles à mettre en place pour se prémunir des risques réglementaires. Voir notre article sur Les meilleures alternatives à Google Analytics.

Les alternatives à Google Analytics pour l'analyse d'audience sont sérieuses et ont des fonctionnalités similaires. Cependant, si vous choisissez de passer à GA4, vous perdrez la connexion native avec d'autres outils Google tels que Google Ads et Merchant Center, ainsi que la possibilité d'exporter des données brutes vers Google BigQuery.

Notre recommandation

Nous vous recommandons les deux approches suivantes en fonction de votre exposition aux risques :

1. Continuer à utiliser GA4 mais dans une configuration qui respecte au maximum la vie privée des utilisateurs. Google ayant déjà fait de nombreux progrès en termes de privacy avec GA4 et de localisation de la donnée en Europe.

2. Mettre en place une solution alternative en prévention d’un contrôle et pour construire un historique de données. Voir Les meilleures alternatives à Google Analytics.

‍

Questions fréquentes

Quel est le risque à conserver Google analytics en l’état ?

🟢 Le risque est faible : si la CNIL vous met en demeure, vous aurez un mois pour vous mettre en conformité. De plus depuis le 10 juillet 2023 La Commission européenne 🇪🇺 a adopté une nouvelle décision d'adéquation, reconnaissant que les 🇺🇸 États-Unis garantissent désormais un niveau de protection équivalent à celui de l'Union européenne pour les transferts de données personnelles. GA4 n’est donc a priori plus dans le viseur des autorités et légal d’utilisation.

Les organismes disposent-ils d’un délai pour se mettre en conformité ?

⚠️ Oui mais le délai n’est pas long.Les organismes mis en demeure disposent d'un délai d'un mois pour se mettre en conformité avec le RGPD et justifier cette conformité auprès de la CNIL.

💡 Ce délai peut être renouvelé à la demande des intéressés.

Existe-t-il des garanties supplémentaires suffisantes pour continuer à utiliser GA ?

✅ Oui, mais à certaines conditions.Une solution permettant d’impliquer un serveur mandataire (ou « proxy ») peut être mise en place pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure peut-être envisageable.

⚠️ La proxification de Google Analytics peut avoir un impact significatif sur les données collectées. Google Analytics collecte des données sur les interactions des utilisateurs avec un site web, incluant l'adresse IP, l'emplacement géographique et le type de navigateur. Toutefois, lorsque le trafic est routé via un proxy, l'adresse IP collectée peut être celle du proxy et non celle de l'utilisateur, ce qui rend difficile la collecte de données précises sur les emplacements géographiques et peut provoquer des incohérences dans les données d'analyse.

Le chiffrement pourrait-il être une garantie supplémentaire suffisante ?

✅ Oui, mais à certaines conditions.

Le chiffrement de données par Google est insuffisant car il conserve la possibilité d'accéder aux données des personnes physiques en clair. Pour que le chiffrement soit suffisant, les clés de chiffrement devraient être conservées sous le contrôle exclusif de l'exportateur de données, ou d'autres entités établies dans un territoire offrant un niveau de protection adéquat.

Est-il possible de paramétrer Google Analytics afin de ne transférer vers les États-Unis que des données anonymes ?

✅ Oui, mais à certaines conditions.

Google utilise des mesures de pseudonymisation plutôt que d'anonymisation. Bien qu'il propose une fonction d'anonymisation des IP, celle-ci ne s'applique pas à tous les transferts. Les identifiants uniques peuvent rendre les données identifiables lorsqu'ils sont combinés avec les métadonnées du navigateur ou du système d'exploitation. La CEPD recommande la pseudonymisation, mais seulement après une analyse pour éviter la réidentification des personnes concernées.

Pourquoi Google Analytics plus que les autres ?

C’est une vraie question, et nous n’avons pas la réponse. Nous pensons que la CNIL craint que Google puisse indirectement réidentifier les utilisateurs en croisant de nombreuses sources d'information. Relativement peut d’autre solution d'analyse de données ne possède une telle capacité.

Cependant qu’en est-il de tous les CRM américains qui détiennent pour le coup des données personnelles ?

Oui mais si l’utilisateur est d’accord avec le transfert de ses données aux États-Unis?

⚠️ Pas vraiment. Selon l'article 49 du RGPD, les transferts de données peuvent être autorisés vers des pays tiers ou des organisations internationales si la personne concernée a donné son consentement explicite et a été informée des risques.

Toutefois, cette dérogation ne s'applique pas aux transferts récurrents tels que ceux effectués avec Google Analytics. Elle est réservée aux cas exceptionnels comme une petite campagne d'e-mailing sur une période limitée.

Existe-t-il des outils alternatifs ?

✅ Oui il existe des outils alternatifs.

La CNIL a publié une liste d’outils de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés.

⚠️ Attention l’exemption de consentement est une spécificité française 🇫🇷

Cette liste regroupe les outils qui ne nécessitent pas le consentement de l'utilisateur, conformément à l'article 82 de la loi Informatique et Libertés, car ils ont été paramétrés pour fournir uniquement les informations essentielles au service.

☝ Il y a peu d’options en réalitéEn excluant les solutions ayant des capitaux américains (comme Piano analytics) ou hébergées sur des serveurs américains (telles que Piwik Pro et Matomo Cloud sur AWS), seules l'auto-hébergement (Piwik Pro auto-hébergé) et l'open source (Matomo) restent disponibles.