‣

🎛 Control panel (This is hidden from your site)

Dossier RGPD : quelle utilisation de Google Analytics suite aux annonces de la CNIL ?

Dossier RGPD : quelle utilisation de Google Analytics suite aux annonces de la CNIL ?
Avant-propos
Rappel du cadre réglementaire et du rôle de la CNIL
L’exemption de consentement pour les outils de mesure d’audience
Les annonces de la CNIL concernant l’utilisation de Google Analytics
Synthèse et convictions EdgeAngel

Avant-propos

Ce dossier a pour vocation d'offrir à la communauté Data Marketing et Privacy notre grille de lecture concernant l’utilisation de Google Analytics à l’aune du RGPD, de la Loi Informatique et Libertés et de différentes annonces de la CNIL notamment les 10 février et 7 juin 2022.

EdgeAngel n’est pas un cabinet expert en droit. Nous invitons donc le lecteur à prendre la hauteur nécessaire concernant nos interprétations et à ouvrir la discussion avec nous si les analyses et conclusions diffèrent : [email protected] 👋

Rappel du cadre réglementaire et du rôle de la CNIL

Le Règlement Européen sur la Protection des Données (RGPD)

“Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.” (Source CNIL ; plus de détails sur le RGPD)

Qui est concerné ?

Toute organisation dont l’activité est dans l’Union Européenne et qui traite des données personnelles.(art. 3 du RGPD)

Qu’est-ce qu’une donnée personnelle ?

Une « donnée personnelle » contient « toute information se rapportant à une personne physique identifiée ou identifiable ». Une donnée personnelle est une donnée qui permet d'identifier directement ou indirectement un utilisateur. (art. 4 du RGPD ; plus de détails)… sous peine de sanction pouvant aller de la mise en demeure à des amendes potentiellement conséquentes, sans compter le préjudice d’image pour la marque.

L’article 82 de la loi Informatique et Libertés

Il s’agit d’un article de loi française qui vient compléter le RGPD.

Cet article indique qu’il faut informer l’utilisateur sur la finalité de la collecte et lui proposer un mécanisme d'opposition. À la différence du RGPD, ce texte englobe toutes les données associées au navigateur et au dispositif électronique : cet article ne concerne pas uniquement les données personnelles. Il est bien précisé qu’il faut avoir le consentement de l’utilisateur pour collecter ces données.

Cette loi offre également un cadre de dérogation. Il faut pour cela que la collecte des données :

ait “pour finalité exclusive de permettre ou faciliter la communication par voie électronique”
ou soit “strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur”

La CNIL s’appuie sur cet article pour indiquer que son champ d’intervention ne se limite pas qu’au RGPD et à l’utilisation de données personnelles, mais à tous les traceurs et outils qui peuvent interagir avec la navigation de l’utilisateur (écriture et lecture de cookies ou storage) et qui ne rentrent pas dans le cadre de la dérogation (soumis à interprétation).

Le rôle de la CNIL

La CNIL est un organisme qui est tenu de faire respecter le RGPD et la loi Informatique et Libertés. Elle a toute l'autorité nécessaire pour mettre en demeure ou sanctionner les organismes qui ne respectent pas les règles via des plaintes ou autres démarches actives. La CNIL écrit des directives et donne des recommandations. Elle justifie les mises en demeure au regard du RGPD ou de textes de loi (notamment la loi Informatique et Libertés) mais elle n’est pas missionnée pour adapter et écrire de nouvelles règles. En outre, son interprétation des règlements et des lois peut être remise en cause auprès des autorités compétentes comme le Conseil d'État ou la Cour de Justice de l'Union européenne (CJUE).

Analyse et résonance

Si on ne traite pas de données personnelles au sens RGPD : par définition on n’est pas soumis au règlement. La définition de “données personnelles” est clé dans la configuration de l’outil de mesure d’audience.
L’ensemble des traceurs sont soumis à l’article 82 de la loi Informatique et Libertés. Cela ouvre la question de ce qu’est cette “finalité exclusive de permettre ou faciliter la communication par voie électronique” et ce qui permettrait d’y déroger.

L’exemption de consentement pour les outils de mesure d’audience

Contexte

La CNIL communique sur un cahier des charges à respecter pour permettre aux outils de mesure d'audience d’être exemptés de consentement. À noter : pour prétendre à l’exemption de consentement il n’est pas nécessaire d’utiliser un outil listé par la CNIL.

Update Juin 2023 : Le programme d'évaluation de la CNIL qui recense uniquement les solutions analytics examinées, est désormais terminé. On peut penser que la CNIL ne rendra jamais de décision concernant GA4. Source.

Quelle logique juridique ?

Étant donné que la CNIL n’est pas censée adapter la loi mais bien l’interpréter et la faire appliquer, nous pouvons raisonnablement penser que ce cadre d’exemption permet :

(1) de configurer l’outil de manière à ne pas traiter de données personnelles et à sortir ainsi des directives du RGPD ;
(2) de rendre la solution de mesure d’audience conforme au critère de dérogation de la loi Informatique et Libertés (art. 82) d’une “finalité exclusive de permettre ou faciliter la communication par voie électronique”.

C’est d’ailleurs ce que dit la CNIL sur la page précisant les éléments du cahier des charges :

“Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent…”.

Opposition à la collecte pour un outil exempté de consentement ?

Dans un guide encore visible sur GitHub, la CNIL préconisait de proposer une mécanique d’opt-out (opposition cookie).
Les éditeurs dont le dossier a été validé par la CNIL proposent cette configuration lors du paramétrage spécifique pour activer l’exemption.

Cependant, nous ne trouvons pas de cadre juridique qui justifierait ce point : le RGPD n’est pas applicable car on ne traite pas de données personnelles (1) et l’art. 82 (2) n’indique pas la nécessité de proposer une mécanique d’opposition lorsqu’on est dans le cadre de la dérogation. La CNIL semble avoir retiré cet élément du cahier des charges depuis ce qui laisse bien penser qu’il n'y a pas de cadre juridique sur ce point. Si cette analyse est correcte sur le plan juridique, les gestionnaires de sites ne devraient pas avoir pour obligation de le respecter pour prétendre à l’exemption de consentement.

Transfert des données à l’étranger pour les outils exemptés de consentement

Le cahier des charges de la CNIL permet (1) de ne pas collecter de données personnelles au sens RGPD et (2) de rentrer dans le cadre de la dérogation de l’article 82 de la loi Informatique et Liberté.

S’il est respecté, il ne devrait pas y avoir de blocage légal à envoyer les données à l’étranger, le RGPD n’étant pas applicable.

C’est d’ailleurs une approche validée par la CNIL elle-même avec la mise en avant d’une solution de proxyfication pour Google Analytics ayant pour vocation de supprimer toute donnée personnelle mais pas de bloquer le transfert de données au serveur de Google situé aux États-Unis.

La mention “Soyez également attentifs aux éventuels transferts de données hors de l’Union européenne qui pourraient être réalisés par votre fournisseur de solution” sur la page dédiée à l’exemption de consentement nous semble floue et apparaît donc sans fondement juridique.

Est-ce que mon outil de mesure doit être exempté de consentement ?

Les outils qui peuvent bénéficier de l’exemption de consentement le sont à partir du moment où un paramétrage spécifique limitant la remontée de données a été réalisé.

Limiter la collecte des données n’est pas nécessairement la solution la plus adaptée si cela limite son activation. Le gestionnaire de site devra arbitrer sur cette question et notamment se diriger dans la mesure du possible sur des outils avec un paramétrage hybride : avec consentement lorsqu’on collecte les données utiles (dans le cadre du RGPD) et sans consentement lorsqu’on limite la collecte à l’essentiel (art. 82 de la loi Informatique et Liberté).

Les annonces de la CNIL concernant l’utilisation de Google Analytics

Contexte et rappel des faits

La CNIL a communiqué le 10 février 2022 qu’elle a procédé à la mise en demeure d’un gestionnaire de site web français qui utilise Google Analytics (sûrement dans sa versions Universal Analytics) en indiquant que dans le paramétrage actuel :

l’outil est soumis au RGPD car il collecte des données personnelles (notamment l’adresse IP du visiteur et l’identifiant Google Analytics Client Id, stocké dans le cookie “_ga”) ;
Google n’offre pas assez de garanties juridiques, organisationnelles et techniques concernant le transfert des données personnelles aux États-Unis (art. 44, 45 et 46 du RGPD). En effet, la CNIL rappelle que l’accord entre l’Union Européenne et les États-Unis sur le transfert des données (Privacy Shield) a été invalidé en 2020 par la Cour de justice de l'Union européenne ;
aucun élément, selon la CNIL, ne permet d’activer les clauses de dérogations sur le transfert de données (art. 49).

La CNIL a ensuite précisé le 7 juin 2022 que peu importe le paramétrage effectué, si Google Analytics (possiblement dans sa version Universal Analytics) est utilisé avec des données personnelles, cette utilisation de Google Analytics peut être considérée comme illégale.

Quelles sont les données à caractère personnel concernées ?

A minima, les données à caractère personnel concernées sont l’identifiant visiteur de Google Analytics (GA Client Id, stocké dans un cookie) et l’adresse IP du visiteur.

En fonction du paramétrage de l’outil, il est possible que s’ajoutent à ces données d’autres identifiants comme un identifiant utilisateur ou client dans la base de données du gestionnaire de site, ou également des identifiants de commandes en ligne.Les paramètres transmis dans l’URL et liés à la source de trafic peuvent également être considérés comme des données à caractère personnel si elles portent des informations trop précises (par exemple : l’identifiant de clic Google Gclid utilisé dans le cadre de l’association des produits Google Analytics et Google Ads).

Note : l’identifiant client Google Analytics (qui est stocké dans le cookie 1st-party “_ga”) devient une donnée personnelle lorsqu'il est envoyé à d’autres services Google (par exemple la régie de Google Ads) et que cela permet à Google de réconcilier cet identifiant avec une adresse IP. Il faut donc être attentif à la liaison entre les différents outils Google qui peut changer le caractère personnel d’une donnée !

Résonance

Les annonces de la CNIL dépassent la simple utilisation ou non de Google Analytics et questionnent l’utilisation de l’ensemble des solutions éditées par des sociétés ayant des liens capitalistiques ou organisationnels avec une société mère hors Union Européenne, notamment les Etats-Unis. D’autres solutions telles que Google Ads ou celles éditées par Meta (Facebook) sont également dans le viseur de NOYB.

Quelles sont les voies de résolution pour l'utilisation de Google Analytics à date ?

Voie 1 - La modification du cadre lié aux transferts de données aux États-Unis

Google peut-il faire évoluer ses outils analytics pour apporter suffisamment de garanties aux transferts de données selon la CNIL ?

Google a apporté depuis les premières communications de la CNIL en 2022 des changements à ses outils analytics :

Google Analytics Universal Analytics va arrêter de collecter des données à partir du 1er juillet 2023, laissant place à la nouvelle version de Google Analytics : Google Analytics 4 (GA4).
Le traitement de l’adresse IP de visiteurs européens évolue sur GA4 : depuis le 13 juin 2022, aucune IP européenne n’est envoyée sur un serveur américain et le gestionnaire de site a la possibilité de désactiver les données sur l’appareil pour certains pays.
Dans les rapports standards GA4, Google a introduit une notion de seuil dans les rapports : certaines données n’apparaissent pas dans les rapports si elles ne respectent pas un certain niveau d’agrégation et peuvent permettre d’identifier spécifiquement un utilisateur.

💡 L’avis EdgeAngel

Il est question ici d’enjeux géopolitiques complexes. Il semble compliqué pour l’Union Européenne d’être stricte avec Google et par voie de conséquence avec toutes les autres sociétés américaines qui éditent des outils à finalité de mesure d’audience et de publicité. De son côté, Google investit de manière importante pour adapter ses outils au cadre réglementaire (cf. fin de GA UA et évolutions de GA4) et on imagine mal Google se retirer du marché européen. Nous estimons que cela devrait se régler à ce niveau, même si en attendant la responsabilité est du côté des gestionnaires de sites qui utilisent ces solutions.

✅

Mise à jour - Juillet 2023

L’accord UE-US sur le transfert de données personnelles se précise : “La Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l'UE vers certains organismes américains peuvent désormais s’effectuer librement, sans encadrement spécifique.» (Source : https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision) - Google fait bien partie de la liste des organismes autorisés par le nouvel accord (Data Privacy Framework). ➜ On se dirige clairement vers cette voie de résolution.

Voie 2 - Sortir du cadre du RGPD, par exemple avec une méthode de proxyfication

Une solution mise en avant par la CNIL dans la communication du 7 juin 2022 consiste à sortir Google Analytics du cadre du RGPD et donc de la problématique du transfert des données aux États-Unis en utilisant un serveur mandataire (ou “proxy”).

Comment ?

Par l’envoi des données à un serveur proxy (par exemple avec Google Tag Manager Server-side) permettant de “reprendre le contrôle sur la donnée”, notamment avec un paramétrage spécifique pour anonymiser l’adresse IP du visiteur ainsi que l’ensemble des données à caractère personnel avant de les envoyer au serveurs de Google.
La CNIL recommande de supprimer d’autres informations telles que le referer (source de provenance) et les paramètres contenus dans l’URL permettant d’identifier les sources de trafic.
En désactivant également toutes les fonctionnalités ou associations avec d’autres produits Google à finalité publicitaire (Google Signals, association Google Analytics et Google Ads, etc).

Limites

Les paramétrages indiqués et recommandés par la CNIL peuvent dénaturer l’outil Google Analytics et rendre impossible l'activation de la donnée (i son utilisation à des fins d'optimisation marketing)
La mise en place de ce type de solutions de “proxyfication” demande des expertises avancées et implique également des coûts ainsi que de la maintenance.

Interrogations

Il est surprenant que la CNIL considère le referrer ou les UTM comme une donnée personnelle ou permettant de remettre en question la dérogation de l’art. 82 loi Informatique et Libertés, étant donné que ce type de donnée est autorisé pour d’autres outils qui bénéficient de l’exemption de consentement.De notre compréhension, les mêmes règles devraient être appliquées pour l’ensemble des outils dans ce cas précis : quelle est ici la base légale pour autoriser Matomo Analytics, et non Google Analytics, à remonter les informations sur la source du trafic dans un paramétrage spécifique visant à ne pas traiter de données personnelles et activer la dérogation de l’art. 82 ?

Autre voie : remise en cause de l’interprétation de la CNIL

Le jugement de la CNIL n'a pas été remis en cause pour le moment. Étant donné que nous sommes sur un sujet très technique et soumis à interprétation, il n'est pas à exclure que le jugement de la CNIL fasse l’objet d’une défense organisée de la part des annonceurs et autres parties prenantes : l'interprétation des articles 44, 45, 46 et 49 est-elle valable ?

Faut-il obtenir le consentement de l’utilisateur pour ces différents scénarios ?

Voie de résolution 1 (modification du cadre lié aux transferts de données aux États-Unis) 👉 Oui, le consentement explicite est nécessaire. Google Analytics continuera de traiter des données personnelles (notamment pour l’activation) et devra être considéré comme soumis au consentement.

Voie de résolution 2 (sortir du cadre du RGPD, par exemple avec une méthode de proxyfication)👉 Non, le consentement ne serait pas nécessaire. Si vous avez un paramétrage spécifique, par exemple sur la base de la proxyfication pour sortir du RGPD, vous devrez respecter à 100% le cahier des charges pour l’exemption de consentement par la même occasion.

Et Google Consent Mode dans tout ça ?

Google Consent Mode est une fonctionnalité disponible sur Google Analytics et Google Ads permettant la mise en place d’une collecte de données minimale tant que le visiteur n’a pas donné son consentement positif à ces outils.
À date, avec cette fonctionnalité Google Analytics 4 ne fait pas partie de la liste des solutions avec un dossier validé par la CNIL concernant l’exemption de consentement. Cela ne veut pas dire pour autant qu'elle ne peut pas répondre aux différents critères permettant de prétendre à l'exemption de consentement.
Utilisé avec Google Analytics 4, ce mode de collecte de données minimale pourrait le permettre, notamment avec le fait qu’il n’y a pas de GA Client Id stocké en cookie, qu’aucune adresse IP européenne n’est transférée aux États-Unis avec GA4, que des seuils minimaux d'agrégation sont appliqués dans les rapports GA4, que les imports et exports de données non agrégées ne sont pas disponibles par défaut, etc.

Synthèse et convictions EdgeAngel

À date (été 2022), il est trop tôt pour statuer avec certitude sur la question de Google Analytics, notamment avec l’arrivée de GA4, la fin programmée de GA UA et les nouveaux accords Union Européenne - États-Unis.

Débrancher précipitamment Google Analytics pourrait coûter cher à certains acteurs qui sont notamment dépendants de Google Ads / DV 360 : coût de migration vers un autre outil, formation des équipes et utilisation d’outils moins performants pour l’activation.
Pour d’autres acteurs moins “Google dépendant”, une migration vers un outil qui présente davantage de garanties aux yeux de la CNIL pourrait être une option valable pour prévenir les éventuels risques juridiques et préjudices d’image.

Chaque acteur, avec le concours de ses partenaires juridiques et analytics, doit construire sa propre stratégie de collecte en fonction de son appréciation du risque.

À côté de cela, la communauté Analytics (agences, experts, freelances), les législateurs et régulateurs, le délégué à la protection des données (DPO) et Google ont encore du travail pour clarifier les zones d’ombre et œuvrer à la mise en place de dispositifs de tracking respectueux de la donnée personnelle et efficaces pour les gestionnaires de sites.

Auteurs