Publication de la CNIL – FAQ suite mise en demeure GA

La CNIL a publié la semaine dernière une FAQ sur l’utilisation de Google Analytics par les éditeurs de sites web.

L’Autorité y fige une doctrine stricte dans la continuité de ses mises en demeure, indiquant notamment que l’approche par les risques – consistant à prendre en compte la très faible probabilité des demandes d’accès aux données par les autorités américaines-  devait être écartée. 

Les responsables de traitement sont donc contraints d’adopter des mesures techniques supplémentaires qui pourraient consister en la mise en place d’un proxy.

Cette solution sera très certainement étudiée de près par les éditeurs dans les jours à venir afin d’en tester l’efficacité opérationnelle. Toutefois, d’après les premiers retours des équipes techniques, qui doivent encore être challengés, la proxyfication et les solutions évoquées par la CNIL bloqueraient tour remarketing via les audiences GA et empêcheraient tout suivi des sources de trafic. 

Si beaucoup d’éditeurs ont intégré des outils de mesure d’audience figurant sur la liste des cookies exemptés de la CNIL, Google Analytics demeure largement utilisé par le marché, notamment dans sa version avec consentement, compte tenu des interconnexions avec de nombreux outils de la chaîne. 

GA étant largement utilisé par les éditeurs, nous avons demandé à Google de nous transmettre sa position suite aux dernières publications de la CNIL.

POSITION DE GOOGLE 

Nous disposons de mesures supplémentaires efficaces pour fournir des garanties appropriées pour les données personnelles transférées aux États-Unis dans le cadre de l’utilisation de GA. Néanmoins, notre équipe juridique examine actuellement les récents articles de la CNIL sur Google Analytics.

Nous continuons de croire que les autorités de protection des données devraient tenir compte de la réalité des demandes d’accès reçues  des autorités publiques aux États-Unis, conformément aux propres recommandations de l’EDPB, plutôt que simplement de la possibilité hypothétique de telles demandes. Comme l’a clairement indiqué Kent Walker, notre directeur juridique, Google propose des services d’analyse aux entreprises mondiales depuis plus de 15 ans et, pendant tout ce temps, n’a jamais reçu le type de demande sur lequel l’autorité autrichienne a spéculé.

Nous saluons par ailleurs le travail accompli par la Commission Européenne et le Gouvernement Américain pour convenir d’un nouvel accord UE-États-Unis pour encadrer et sécuriser les transferts transatlantiques de données. Nous nous attendons à ce que le gouvernement américain publie bientôt un décret exécutif avec des réformes importantes qui serviront de base au nouveau cadre transatlantique durable de protection des données.

Nous comprenons que les derniers articles de la CNIL se concentrent sur les versions de GA examinées dans le cadre des plaintes NOYB et, pour rappel, nous avons récemment introduit de nouvelles mises à jour de produit pour Google Analytics 4 qui permettent aux clients de gérer et de minimiser à un niveau granulaire la portée des données collectées au niveau de l’utilisateur et, en tant que telles, peuvent aider à répondre aux préoccupations concernant l’association éventuelle des données et l’identification des utilisateurs. Ces contrôles et options de configuration de produit supplémentaires dans GA4 vont au-delà des contrôles de confidentialité précédemment proposés par Google Analytics et incluent :

  • L’arrêt du transfert d’adresses IP (y compris les adresses IP anonymisées) en dehors de l’UE. Nous supprimons les adresses IP de GA4 sans les enregistrer. Par conséquent, les adresses IP du trafic de l’UE ne sont pas transférées en dehors de l’UE. Cette modification s’applique automatiquement à toutes les propriétés GA4.
  • Désactivation de la collecte de données Google Signals au niveau du pays. Les utilisateurs peuvent trouver ce nouveau paramètre sous Admin > Paramètres de données > Collecte de données. Visible par tous les utilisateurs de la propriété, mais ne peut être mis à jour que par les éditeurs et les administrateurs de la propriété.
  • Désactivation de la localisation granulaire et de la collecte de données sur les appareils au niveau du pays. Les utilisateurs peuvent trouver ce nouveau paramètre sous Admin > Paramètres de données > Collecte de données. Visible par tous les utilisateurs de la propriété, mais ne peut être mis à jour que par les éditeurs et les administrateurs de la propriété.

Concernant la recommandation de la CNIL relative à l’utilisation d’un serveur intermédiaire qui évite le contact direct entre le terminal de l’internaute et les serveurs de Google Analytics, il doit être noté que cela peut impacter certaines fonctionnalités de Google Analytics (par exemple les rapports d’acquisition et les rapports de conversion). Notre équipe travaille actuellement à l’évaluation des impacts potentiels sur Google Analytics pour aider  les utilisateurs de GA à évaluer, en tant que responsable du traitement, cette implémentation.