Google Analytics : de nombreuses PME et ETI pourraient être mises en demeure par la CNIL

Combien d’entreprises françaises utilisent-elles encore Google Analytics pour analyser leur audience en ligne ? ll devient urgent de s’intéresser à la question, car l’outil gratuit proposé par Google a été déclaré non conforme au RGPD, alors qu’il a longtemps été le plus populaire en France. Dès lors, les entreprises doivent-elles remplacer Google Analytics et surtout… par quoi ?

La présence sur Internet est depuis longtemps indispensable pour la grande majorité des entreprises. Principal point de contact en ligne, le site web reflète également l’image de l’entreprise et permet souvent de consulter ses prestations, ses produits ou son catalogue.

Or, un aspect moins visible de l’internaute est parfois négligé par les chefs d’entreprise, faute de connaissances techniques et juridiques suffisantes. En outre, la création d’un site web est dans bien des cas confiés à un webmaster indépendant ou une agence purement technique qui n’a pas pris en considération les conséquences légales de ce type de production.

En effet, le 10 février 2022, la CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics, car il y a un risque de transfert de données vers les États-Unis, sans garanties suffisantes concernant les droits des utilisateurs européens. Cette décision fait suite aux 101 plaintes déposées par l’association noyb auprès des différentes autorités de protection des données en Europe. En France, les organismes mis en demeure ont un mois pour se mettre en conformité.

Que faire pour se mettre en conformité avec le RGPD ?

La solution la plus simple pour continuer à obtenir des statistiques d’audience sur le web tout en étant en conformité avec le RGPD est de changer d’outil. La CNIL met à disposition une liste d’outils de statistiques recommandés, pour peu qu’ils soient correctement configurés (la liste comporte des guides de configuration).

Concernant les entreprises qui souhaiteraient conserver Google Analytics, la CNIL préconise d’utiliser un proxy, c’est-à-dire un « serveur mandataire » qui évite tout contact direct entre le terminal de l’internaute et les serveurs de Google. Dans ce cas, il faudra également être très attentif à la configuration effectuée, car certaines mesures techniques sont nécessaires pour que la proxyfication soit valable.

Voici les conseils de notre expert Fidal, Arnaud Tessalonikos, Avocat et Directeur Associé, responsable du Pôle Digital Tech et Data :

Quels sont les risques si une entreprise continue d’utiliser Google Analytics sur son site Internet ?

Certes, Google Analytics est la solution la plus utilisée pour obtenir des statistiques sur l’activité d’un site internet en termes de flux de visites, de durée de connexion par visiteur, des pages visitées par session, mais aussi, cet outil permet la collecte des adresses IP, et le cas échéant, une géolocalisation des périphériques et donc des personnes concernées.

Pour la CNIL, il est établi que les mesures mises en place par Google ne sont pas suffisantes pour exclure un accès aux données des résidents européens par les autorités américaines. La CNIL indique expressément que tous les responsables de traitement qui utilisent Google Analytics de façon similaire aux organismes qui ont été mis en demeure, sont dans l’illégalité au regard du RGPD. Il n’y a pas d’ambiguïté sur ce point.

Ces responsables de traitement risquent donc d’être mis en demeure à leur tour, voire sanctionnés. Dans la mise en demeure du 10 février 2022, la CNIL rappelle que les responsables de traitement qui ne se conformeraient pas au RGPD encourent une amende administrative de 20 M€ ou jusqu’à 4 % du chiffre d’affaires annuel mondial pour une entreprise, la plus élevée des deux sommes étant retenue.

Comment les entreprises peuvent se faire accompagner pour être certaines que leur analyse de trafic web est conforme avec le RGPD ?

Les entreprises responsables de traitement doivent être accompagnées pour le choix d’autres outils, qui permettent des statistiques d’audience en conformité avec la protection des données à caractère personnel. Il convient de les évaluer juridiquement.

Il est aussi important de se faire conseiller afin de minimiser le traitement des données de manière adéquate, pertinente, et limitée aux finalités (et surtout de disposer de la preuve de cela pour se conformer au principe dit d’accountability). Par exemple, pour des relations contractuelles qui ne nécessitent pas un traçage géographique, le responsable du traitement doit s’assurer d’activer l’option d’anonymisation IP (Google Analytics V4 présente cette option, mais elle n’est pas jugée suffisante à elle seule par la CNIL en cas de flux vers les Etats Unis).

Une attention devra également être portée à l’adaptation du registre des activités de traitement, afin de le mettre à jour des risques liés à ces outils susceptibles de générer un transfert de données et de préciser les garanties mises en œuvre par le responsable du traitement pour minimiser les risques. Le cas échéant, il conviendra que les exportateurs de données réalisent une Analyse d’Impact du Transfert, afin de mesurer les conséquences de ce transfert notamment sur la sécurité des données et le respect des droits des personnes concernées.

Enfin, il sera primordial de mettre à jour ses mentions légales car une obligation d’information des personnes concernées incombe aux responsables de traitement.