Sommaire

Ce dossier a pour vocation d'offrir à la communauté Data Marketing et Privacy notre grille de lecture concernant l’utilisation de Google Analytics à l’aune du RGPD, de la Loi Informatique et Libertés et de différentes annonces de la CNIL notamment les 10 février et 7 juin 2022.

EdgeAngel n’est pas un cabinet expert en droit. Nous invitons donc le lecteur à prendre la hauteur nécessaire concernant nos interprétations et à ouvrir la discussion avec nous si les analyses et conclusions diffèrent : [email protected] 👋

“Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.” (Source CNIL ; plus de détails sur le RGPD)

Toute organisation dont l’activité est dans l’Union Européenne et qui traite des données personnelles.(art. 3 du RGPD)

Une « donnée personnelle » contient « toute information se rapportant à une personne physique identifiée ou identifiable ». Une donnée personnelle est une donnée qui permet d'identifier directement ou indirectement un utilisateur. (art. 4 du RGPD ; plus de détails)… sous peine de sanction pouvant aller de la mise en demeure à des amendes potentiellement conséquentes, sans compter le préjudice d’image pour la marque.

Il s’agit d’un article de loi française qui vient compléter le RGPD.

Cet article indique qu’il faut informer l’utilisateur sur la finalité de la collecte et lui proposer un mécanisme d'opposition. À la différence du RGPD, ce texte englobe toutes les données associées au navigateur et au dispositif électronique : cet article ne concerne pas uniquement les données personnelles. Il est bien précisé qu’il faut avoir le consentement de l’utilisateur pour collecter ces données.

Cette loi offre également un cadre de dérogation. Il faut pour cela que la collecte des données :

La CNIL s’appuie sur cet article pour indiquer que son champ d’intervention ne se limite pas qu’au RGPD et à l’utilisation de données personnelles, mais à tous les traceurs et outils qui peuvent interagir avec la navigation de l’utilisateur (écriture et lecture de cookies ou storage) et qui ne rentrent pas dans le cadre de la dérogation (soumis à interprétation).

La CNIL est un organisme qui est tenu de faire respecter le RGPD et la loi Informatique et Libertés. Elle a toute l'autorité nécessaire pour mettre en demeure ou sanctionner les organismes qui ne respectent pas les règles via des plaintes ou autres démarches actives. La CNIL écrit des directives et donne des recommandations. Elle justifie les mises en demeure au regard du RGPD ou de textes de loi (notamment la loi Informatique et Libertés) mais elle n’est pas missionnée pour adapter et écrire de nouvelles règles. En outre, son interprétation des règlements et des lois peut être remise en cause auprès des autorités compétentes comme le Conseil d'État ou la Cour de Justice de l'Union européenne (CJUE).

La CNIL communique sur un cahier des charges à respecter pour permettre aux outils de mesure d'audience d’être exemptés de consentement.À noter : pour prétendre à l’exemption de consentement il n’est pas nécessaire d’utiliser un outil listé par la CNIL.

Étant donné que la CNIL n’est pas censée adapter la loi mais bien l’interpréter et la faire appliquer, nous pouvons raisonnablement penser que ce cadre d’exemption permet :

C’est d’ailleurs ce que dit la CNIL sur la page précisant les éléments du cahier des charges :

“Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent…”.

Cependant, nous ne trouvons pas de cadre juridique qui justifierait ce point : le RGPD n’est pas applicable car on ne traite pas de données personnelles (1) et l’art. 82 (2) n’indique pas la nécessité de proposer une mécanique d’opposition lorsqu’on est dans le cadre de la dérogation. La CNIL semble avoir retiré cet élément du cahier des charges depuis ce qui laisse bien penser qu’il n'y a pas de cadre juridique sur ce point. Si cette analyse est correcte sur le plan juridique, les gestionnaires de sites ne devraient pas avoir pour obligation de le respecter pour prétendre à l’exemption de consentement.

Le cahier des charges de la CNIL permet (1) de ne pas collecter de données personnelles au sens RGPD et (2) de rentrer dans le cadre de la dérogation de l’article 82 de la loi Informatique et Liberté.

S’il est respecté, il ne devrait pas y avoir de blocage légal à envoyer les données à l’étranger, le RGPD n’étant pas applicable.

C’est d’ailleurs une approche validée par la CNIL elle-même avec la mise en avant d’une solution de proxyfication pour Google Analytics ayant pour vocation de supprimer toute donnée personnelle mais pas de bloquer le transfert de données au serveur de Google situé aux États-Unis.

La mention “Soyez également attentifs aux éventuels transferts de données hors de l’Union européenne qui pourraient être réalisés par votre fournisseur de solution” sur la page dédiée à l’exemption de consentement nous semble floue et apparaît donc sans fondement juridique.

Les outils qui peuvent bénéficier de l’exemption de consentement le sont à partir du moment où un paramétrage spécifique limitant la remontée de données a été réalisé.

Limiter la collecte des données n’est pas nécessairement la solution la plus adaptée si cela limite son activation. Le gestionnaire de site devra arbitrer sur cette question et notamment se diriger dans la mesure du possible sur des outils avec un paramétrage hybride : avec consentement lorsqu’on collecte les données utiles (dans le cadre du RGPD) et sans consentement lorsqu’on limite la collecte à l’essentiel (art. 82 de la loi Informatique et Liberté).

La CNIL a communiqué le 10 février 2022 qu’elle a procédé à la mise en demeure d’un gestionnaire de site web français qui utilise Google Analytics (sûrement dans sa versions Universal Analytics) en indiquant que dans le paramétrage actuel :

La CNIL a ensuite précisé le 7 juin 2022 que peu importe le paramétrage effectué, si Google Analytics (possiblement dans sa version Universal Analytics) est utilisé avec des données personnelles, cette utilisation de Google Analytics peut être considérée comme illégale.

A minima, les données à caractère personnel concernées sont l’identifiant visiteur de Google Analytics (GA Client Id, stocké dans un cookie) et l’adresse IP du visiteur.

En fonction du paramétrage de l’outil, il est possible que s’ajoutent à ces données d’autres identifiants comme un identifiant utilisateur ou client dans la base de données du gestionnaire de site, ou également des identifiants de commandes en ligne.Les paramètres transmis dans l’URL et liés à la source de trafic peuvent également être considérés comme des données à caractère personnel si elles portent des informations trop précises (par exemple : l’identifiant de clic Google Gclid utilisé dans le cadre de l’association des produits Google Analytics et Google Ads).

Note : l’identifiant client Google Analytics (qui est stocké dans le cookie 1st-party “_ga”) devient une donnée personnelle lorsqu'il est envoyé à d’autres services Google (par exemple la régie de Google Ads) et que cela permet à Google de réconcilier cet identifiant avec une adresse IP. Il faut donc être attentif à la liaison entre les différents outils Google qui peut changer le caractère personnel d’une donnée !

Les annonces de la CNIL dépassent la simple utilisation ou non de Google Analytics et questionnent l’utilisation de l’ensemble des solutions éditées par des sociétés ayant des liens capitalistiques ou organisationnels avec une société mère hors Union Européenne, notamment les Etats-Unis. D’autres solutions telles que Google Ads ou celles éditées par Meta (Facebook) sont également dans le viseur de NOYB.

Google a apporté depuis les premières communications de la CNIL en 2022 des changements à ses outils analytics :

💡 L’avis EdgeAngel

Il est question ici d’enjeux géopolitiques complexes. Il semble compliqué pour l’Union Européenne d’être stricte avec Google et par voie de conséquence avec toutes les autres sociétés américaines qui éditent des outils à finalité de mesure d’audience et de publicité. De son côté, Google investit de manière importante pour adapter ses outils au cadre réglementaire (cf. fin de GA UA et évolutions de GA4) et on imagine mal Google se retirer du marché européen. Nous estimons que cela devrait se régler à ce niveau, même si en attendant la responsabilité est du côté des gestionnaires de sites qui utilisent ces solutions.

Une solution mise en avant par la CNIL dans la communication du 7 juin 2022 consiste à sortir Google Analytics du cadre du RGPD et donc de la problématique du transfert des données aux États-Unis en utilisant un serveur mandataire (ou “proxy”).

Il est surprenant que la CNIL considère le referrer ou les UTM comme une donnée personnelle ou permettant de remettre en question la dérogation de l’art. 82 loi Informatique et Libertés, étant donné que ce type de donnée est autorisé pour d’autres outils qui bénéficient de l’exemption de consentement.De notre compréhension, les mêmes règles devraient être appliquées pour l’ensemble des outils dans ce cas précis : quelle est ici la base légale pour autoriser Matomo Analytics, et non Google Analytics, à remonter les informations sur la source du trafic dans un paramétrage spécifique visant à ne pas traiter de données personnelles et activer la dérogation de l’art. 82 ?

Le jugement de la CNIL n'a pas été remis en cause pour le moment. Étant donné que nous sommes sur un sujet très technique et soumis à interprétation, il n'est pas à exclure que le jugement de la CNIL fasse l’objet d’une défense organisée de la part des annonceurs et autres parties prenantes : l'interprétation des articles 44, 45, 46 et 49 est-elle valable ?

Voie de résolution 1 (modification du cadre lié aux transferts de données aux États-Unis) 👉 Oui, le consentement explicite est nécessaire. Google Analytics continuera de traiter des données personnelles (notamment pour l’activation) et devra être considéré comme soumis au consentement.

Voie de résolution 2 (sortir du cadre du RGPD, par exemple avec une méthode de proxyfication)👉 Non, le consentement ne serait pas nécessaire. Si vous avez un paramétrage spécifique, par exemple sur la base de la proxyfication pour sortir du RGPD, vous devrez respecter à 100% le cahier des charges pour l’exemption de consentement par la même occasion.

Et Google Consent Mode dans tout ça ?

À date (été 2022), il est trop tôt pour statuer avec certitude sur la question de Google Analytics, notamment avec l’arrivée de GA4, la fin programmée de GA UA et les nouveaux accords Union Européenne - États-Unis.

Chaque acteur, avec le concours de ses partenaires juridiques et analytics, doit construire sa propre  stratégie de collecte en fonction de son appréciation du risque.

À côté de cela, la communauté Analytics (agences, experts, freelances), les législateurs et régulateurs, le délégué à la protection des données (DPO) et Google ont encore du travail pour clarifier les zones d’ombre et œuvrer à la mise en place de dispositifs de tracking respectueux de la donnée personnelle et efficaces pour les gestionnaires de sites.

Auteurs :

Sources :