La CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics, en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens. Quelles solutions pour les clients de cet outil très répandu en France ?
Les mises en demeure prononcées par la CNIL interviennent dans la foulée de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020 ayant invalidé le Privacy Shield. Cet accord, qui encadrait les transferts de données entre l’Union européenne et les États-Unis, a été invalidé, car il n’offrait pas de garanties appropriées face au risque d’accès illicite par les autorités américaines, notamment celles liées au renseignement, aux données personnelles de résidents européens.
Les organismes mis en demeure avaient établi avec Google des clauses contractuelles types, que Google propose par défaut à ses utilisateurs. Ces clauses contractuelles types ne peuvent pas, selon la CNIL, assurer à elles seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales.
Les mesures prises par Google jugées insuffisantes
Dans sa réponse aux demandes de la CNIL, Google a indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique. Mais ces dernières ont été jugées insuffisantes par la CNIL pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens.
Il n’est pas non plus possible de paramétrer Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne. En réponse au questionnaire envoyé par la CNIL, Google a en effet indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux États-Unis.
Google a également indiqué utiliser des mesures de pseudonymisation, mais non d’anonymisation. Google propose bien une fonction d’anonymisation des adresses IP, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux États-Unis.
Par ailleurs, la seule utilisation d’identifiants uniques permettant de différencier les individus peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation. Ces données permettent un suivi précis des utilisateurs, dans certains cas sur plusieurs appareils distincts.
La problématique du contact direct via la connexion https
Aucune des garanties supplémentaires présentées à la CNIL dans le cadre de la mise en demeure ne permet donc d’empêcher ou de rendre ineffectif l’accès des services de renseignements états-uniens aux données personnelles des utilisateurs européens lors de l’usage du seul outil Google Analytics.
La problématique fondamentale qui empêche ces mesures de répondre à la problématique de l’accès aux données par des autorités extra-européennes est celle du contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. Les requêtes qui en résultent permettent en effet à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal.
Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics. Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique.
La solution du serveur proxy ?
Une solution permettant d’impliquer un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure pourrait être envisageable. Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD (Comité européen de la protection des données) dans ses recommandations du 18 juin 2021.
Un tel dispositif correspondrait au cas d’usage de la pseudonymisation avant export de données. Comme indiqué dans les recommandations de la CEPD, un tel export n’est possible que si le responsable du traitement a établi, au moyen d’une analyse approfondie, que les données personnelles pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable, même si elles sont recoupées avec d’autres informations.
Le serveur procédant à la proxyfication doit donc mettre en œuvre un ensemble de mesures permettant de limiter les données transférées. La CNIL considère, en principe, comme nécessaire :
- l’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure ;
- le remplacement de l’identifiant utilisateur par le serveur de proxyfication ;
- la suppression de l’information de site référent (ou « referer ») externe au site ;
- la suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) ;
- le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), telles que les « user-agent », pour supprimer les configurations les plus rares pouvant mener à une réidentification ;
- l’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, unique ID) ;
- la suppression de toute autre donnée pouvant mener à une réidentification.
Une liste de solutions alternatives
Il s’agit là d’une liste bien longue pour un spécialiste de la mesure d’audience tel que Google Analytics qui a fait son succès, comme bien d’autres outils sur le marché, grâce à la précision toujours plus fine de ses données. Il y a fort à parier que ces exigences ne soient pas atteignables, sauf à modifier drastiquement son modèle de collecte des données et à transformer en profondeur son approche produit.
En attendant, la CNIL a publié une liste d’outils de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés. Cette liste regroupe les outils qui ont d’ores et déjà démontré à la CNIL qu’ils peuvent être paramétrés afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, et ainsi ne pas requérir le consentement de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés. Cette liste n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux, notamment les conséquences de l’ar