CNIL / GOOGLE ANALYTICS / Nouvelles clarifications sur les outils de mesures d’audience

L’affaire Google Analytics connait un nouvel épisode avec la publication par la CNIL d’un article sur la mise en conformité de l’outil de mesure d’audience et d’une foire aux questions relative à ses dernières mises en demeures concernant la mise en œuvre de cet outil.

Pour rappel, la CNIL a procédé, le 10 février dernier, en coopération avec ses homologues européens, a des mises en demeure contre plusieurs structures pour transferts illégaux de données vers les Etats-Unis via Google Analytics. Elle considère que l’utilisation de cet outil entraîne des transferts non sécurisés de données personnelles, incitant ainsi les organismes à trouver des solutions et des alternatives afin de respecter les exigences relatives à la protection des données, notamment celles issues du RGPD.

Concernant d’abord la mise en conformité de l’outil de mesures d’audience, la CNIL explique que les mesures de paramétrage et de chiffrement ne suffisent pas, car elles n’empêchent pas l’accès aux données par des autorités extra-européennes. En effet, la problématique est celle du contact direct par le biais d’une connexion HTTPS, entre le terminal de la personne et les serveurs de Google. Les requêtes qui en résultent permettent aux serveurs Google d’obtenir l’adresse IP et des informations sur le terminal de l’internaute.

La seule solution envisageable est donc celle de rompre ce contact, ce qui est possible grâce à l’utilisation d’un proxy (un serveur mandataire). Concrètement, les adresses IP et informations auxquelles les serveurs de Google auront accès sont celles du proxy et non des internautes.

Cependant, il est nécessaire que ce serveur proxy remplisse certaines conditions pour considérer que cette mesure s’inscrit dans la ligne des recommandations du CEPD du 18 juin 2021 sur les instruments de transfert permettant de garantir un niveau de protection des données équivalent à celui assuré par le droit de l’UE.

En l’occurrence, le responsable du traitement doit s’assurer (par une analyse) que les données personnelles pseudonymisées ne peuvent pas être réattribuées à une personne physique identifiée ou identifiable. En d’autres termes, il faut s’assurer qu’une réidentification de la personne concernée est impossible tant pour Google que pour les autorités extra-européennes, et ce même en croisant d’autres informations.

Par ailleurs, la CNIL dresse une liste des mesures nécessaires pour mettre en place cette « proxyfication » :

• absence de transfert de l’adresse IP vers les serveurs de l’outil ;
• remplacement de l’identifiant utilisateur par le serveur proxy ;
• suppression de l’information de site référent ;
• suppression de tout paramètre contenu dans les URL collectées ;
• retraitement des informations pouvant générer une empreinte (fingerprint) ;
• absence de toute collecte d’identifiant entre sites ou déterministes ;
• suppression de toutes données pouvant servir à une réidentification.

Cependant, la CNIL reconnaît que la mise en place des mesures décrites ci-dessus peut être couteuse et complexe et ne peut ainsi être réalisée par tous les opérationnels. Pour faire face à ces difficultés, la Commission rappelle que les professionnels peuvent recourir à des solutions ne réalisant pas de transferts de données personnelles en dehors de l’UE.

Concernant ensuite la foire aux questions, celle-ci permet de tirer les conséquences des dernières décisions.

Cette FAQ répond notamment aux questions suivantes :

• l’anonymisation des décisions,
• la position de la CNIL par rapport aux institutions européennes,
• focus sur l’association NOYB,
• les clauses contractuelles types et garanties supplémentaires pour Google Analytics,
• le paramétrage de Google Analytics
• le chiffrement
• les alternatives
•  

Consultez ici l’article et la FAQ de la CNIL :  Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? ; Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics