Le 10 février 2022, la CNIL a mis en demeure le gestionnaire de site web français pour son utilisation de Google Analytics (GA), en lui accordant quatre semaines pour se mettre en conformité.
Concrètement, que reproche t-on à Google Analytics ?
- L’outil de Web Analyse contient des données jugées personnelles (Identifiant de cookie Google Analytics et Adresse IP).
- L’anonymisation des IP via le code fourni par Google Analytics n'est pas suffisant aux yeux de la CNIL car cette anonymisation intervient une fois l'IP arrivée chez Google.
En quoi la détention de ces données personnelles est un problème ?
- La solution appartenant à Google qui est une société basée aux Etats-Unis, elle peut ainsi faire l’objet d’une injonction de la justice américaine afin de mettre la donnée en question à la disposition des services de renseignement américains (en vertu du Patriot Act et du CLOUD Act).
Quelle solution pourrait être envisagée par Google pour se mettre en conformité ?
- Google pourrait mettre en place des actions de troncage et d'anonymisation de IP avant même qu'elles se retrouvent dans l'environnement Google Analytics" ce qui éviterait le problème de transfert de données personnelles au USA.
Quel plan d’actions mettre en place pour conserver une analyse de site web ?
- En attendant le retour de Google sur la mise en conformité de son outil, la suppression et le remplacement de l’outil de Web Analyse Google Analytics semble prématurée.
- Pour autant, il ne faut pas écarter l’étude d’autres solutions de Web Analyse qui seraient conformes RGPD sur le sujet des transferts de données et exemptées de consentement.