Google Analytics : un outil non conforme au RGPD

27 juillet 2022

4 min

Google Analytics
L’outil Google Analytics, utilisé par de nombreux sites internet pour mesurer leur audience, est aujourd’hui reconnu comme contraire au RGPD par plusieurs autorités de protection des données. 

 

Depuis le début de l’année 2022, les autorités de protection autrichienne, française et italienne ont contrôlé l’utilisation de Google Analytics et ont estimé que l’utilisation de cet outil constitue un manquement au RGPD.  

 

Si aucune sanction n’a encore été prononcée, ce manquement au RGPD expose les gestionnaires  de sites internet à des sanctions de la part des autorités. 

 

Pourquoi Google Analytics est-il déclaré illégal par ces autorités ?

Un bref rappel des règles applicables aux transferts de données  

Conformément aux articles 44 et suivants du RGPD, les transferts de données personnelles hors de l’Union européenne doivent être nécessairement encadrés par les instruments prévus par le texte :

- une décision d’adéquation du pays destinataire des données ; 

- des garanties appropriées, incluant les clauses contractuelles types ; 

- en l’absence d’un niveau de protection équivalent, il est possible d’utiliser des dérogations  pour des situations particulières. 

 

Un arrêt important a été rendu par la Cour de justice de l’Union européenne le 16 juillet 2020, l’arrêt  Schrems II dont les conséquences sont les suivantes : 

- invalidation du Privacy Shield qui permettait de transférer les données personnelles vers les  Etats-Unis ; 

- ce pays est reconnu comme n’assurant pas un niveau de protection équivalant au RGPD : en  effets, les autorités américaines peuvent demander l’accès aux données personnelles  collectées par certaines entreprises en vertu de la section 702 du FISA et l’Executive Order  12333 ; 

- lorsque la législation du pays tiers n’assure pas une protection équivalente au RGPD, il est  nécessaire de mettre en place de nouvelles mesures, en plus des clauses contractuelles  types ; 

- le Comité européen de la protection des données a publié des lignes directrices énonçant les  mesures supplémentaires pouvant être mises en place pour pallier les lacunes de la législation  du pays tiers.

 

LIRE LA DÉCISION >>  Cour de Justice de l'Union Européenne, 16 juillet 2020, n° C-311/18

 

Pourquoi les clauses contractuelles types de Google ont-elles été jugées insuffisantes ?

À la suite de plaintes du collectif autrichien None of your business, les autorités de protection  européennes ont été amenées à contrôler l’utilisation par des sites internet de l’outil de mesure d’audience Google Analytics.

 

Pour encadrer les transferts de données vers les Etats-Unis, Google proposait la conclusion de  clauses contractuelles types. 

 

Or, Google est un fournisseur de communications électroniques au sens du droit  américain et est par conséquent sujet à la surveillance des services de renseignement américains de sorte qu'en pratique, en cas de demande d’accès des autorités américaines, Google est contraint de leur transmettre les données personnelles des utilisateurs de sites utilisant Google Analytics.

 

Google publie à cet effet des rapports de transparence indiquant le nombre de demandes des  autorités américaines et le nombre d’utilisateurs concernés par ces demandes. À titre d’exemple, de janvier à décembre 2021, environ 28 000 comptes d’utilisateurs ont été  concernés par une demande d’accès d’une autorité américaine. Ces 28 000 comptes ne concernent  toutefois pas que Google Analytics mais tous les services proposés par Google. 

 

Au regard de ces éléments, les autorités de protection des données européennes ont considéré  que la simple conclusion de clauses contractuelles types ne permettait pas une protection  suffisante des utilisateurs. Selon elles, des mesures supplémentaires étaient donc nécessaires afin d’encadrer les transferts  des données personnelles collectées via l’outil Google Analytics vers les États-Unis.

 

Quelles mesures ont été adoptées par Google et pourquoi celles-ci ont-elles été jugées inefficaces ?

En procédant à l’analyse des mesures mises en place par Google, les autorités ont estimé que celles-ci ne permettaient pas d’assurer une protection suffisante. 

 

- L’anonymisation des adresses IP : selon Google, l’anonymisation permettait de ne pas  transférer de données personnelles en dehors de l’UE.  Cependant, si Google propose bien une fonction d’anonymisation des adresses IP, celle-ci  n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne  permettent pas de déterminer si cette anonymisation a bien lieu avant le transfert aux  États-Unis.

 

- Le chiffrement des données : Google estimait que le chiffrement des données permettait  de protéger les données des utilisateurs. Cette mesure a toutefois été jugée inefficace étant donné qu'en cas de demande  d’accès des autorités américaines, Google est contraint de transmettre les clés de chiffrement  permettant de rendre les données intelligibles aux autorités. 

 

- L’absence de collecte de données personnelles : Google affirmait ne pas collecter de  données personnelles en attribuant à chaque utilisateur un identifiant unique. Cependant,  l’utilisation de ces identifiants permet de différencier les individus et peut ainsi permettre  de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres  informations.

 

Par conséquent, les autorités de protection ont estimé qu’en cas de demande d’accès des autorités américaines, Google était contraint, malgré les mesures mises en place, de leur transmettre les  données personnelles des utilisateurs des sites internet utilisant Google Analytics. 

 

Selon les autorités, une société qui recourt à Google Analytics compromet ainsi le niveau de  protection des données personnelles de ses utilisateurs tel qu’il est garanti par l’article 44 du  RGPD. 

 

LIRE AUSSI >> Google n’a pas une mission générale de filtrage et de surveillance

 

Est-il possible d’utiliser Google Analytics en conformité avec le RGPD ?

À l’heure actuelle, les autorités de protection des données qui se sont prononcées sur Google  Analytics sont unanimes : le paramétrage de l’outil ne permet pas d’être conforme au RGPD.

 

Une seule solution a été identifiée par l’autorité française pour utiliser Google Analytics de  manière conforme : l’utilisation d’un serveur mandataire ou « proxy ». L’utilisation de ce serveur permettrait en effet d’éviter tout contact direct entre le terminal de  l’utilisateur et les serveurs de Google. Cependant, l’autorité reconnaît que cette « proxyfication » est soumise à de nombreuses  conditions pour rendre l’outil conforme et peut se révéler coûteuse et complexe. 

 

Google tente actuellement de faire évoluer son outil de manière à le rendre conforme au RGPD  avec une nouvelle version de Google Analytics (Google Analytics 4). Cette nouvelle version n’a pas  encore été analysée par les autorités de protection des données. 

 

Quelles alternatives pour mesurer l’audience de son site ?

Les autorités de protection des données recommandent d’utiliser des solutions de mesure  d’audience européennes ne transférant pas de données en dehors de l’UE. 

 

En effet, de nombreuses autres solutions que Google Analytics existent pour mesurer l’audience et la performance d’un site internet. À titre d’exemple, l’autorité française a publié une liste des outils de mesure d’audience pouvant  être exemptés de consentement et recommande fortement l’utilisation de ces outils.

 

Cependant, cette liste ne permet pas d’affirmer que ces outils ne transfèrent pas de données en  dehors de l’UE mais simplement qu’ils ne nécessitent pas de recueillir le consentement des  utilisateurs pour mesurer l’audience du site.

 

Un futur accord pour les transferts de données vers les États-Unis ?

Un accord de principe a été conclu le 25 mars 2022 entre l’Union européenne et les États-Unis permettant d’aboutir à un nouveau cadre de protection des transferts de données personnelles vers ces derniers. Cet accord de principe n’est toutefois à ce stade qu’une annonce politique qui ne constitue pas un  cadre juridique sur lequel les organismes peuvent s’appuyer pour transférer les données vers les  États-Unis. Ce futur cadre juridique pourrait permettre aux éditeurs de sites internet d’utiliser Google Analytics de manière conforme au RGPD. 

 

Dans l’attente de ce nouveau cadre juridique, les éditeurs de sites utilisant Google Analytics  s’exposent à des sanctions de la part des autorités de protection des données. 

 

Cet article a été rédigé par Jeanne Bossi Malafosse, associée et Apolline Lefaure, collaboratrice chez DELSOL Avocats.

 

LIRE AUSSI >> Transferts de données : quelles protections pour les Européens ?
Picture of Cabinet DELSOL Avocats
Cabinet DELSOL Avocats

DELSOL Avocats est une entreprise d’avocats dédiée aux multiples facettes des activités professionnelles. Il dispose ainsi des expertises d’un cabinet d’affaires, nécessaires aux besoins des organisations dans toutes leurs variétés.

Accueil  ›   Actualités juridiques  ›  Google Analytics : un outil non conforme au RGPD

Chaque mois, retrouvez l’essentiel de l’actualité juridique analysée par les meilleurs experts !