Par Anne-Charlotte Andrieux et Antoine Kraska-Delsol
La Commission nationale de l’informatique et des libertés (CNIL) a considéré qu’en raison du transfert de données opéré vers les Etats-Unis, l’utilisation de Google Analytics ainsi que de Google reCAPTCHA n’étaient pas conformes au RGPD.
Dans la continuité des mises en demeure adressées à des éditeurs de sites internet, la CNIL a publié un ensemble de questions-réponses (FAQ). L’autorité française de protection des données ouvre ainsi la voie à l’utilisation d’un « proxy » pour continuer à utiliser ce service de mesure d’audience tout en restant en conformité avec le RGPD.
La CNIL confirme l’irrégularité de Google Analytics
Dans sa FAQ la CNIL vient confirmer avec force que l’outil de Google induit une violation de la règlementation applicable à la protection des données.
A ce titre, la Commission précise que, dans sa version actuelle, Google Analytics ne peut être paramétré de sorte à anonymiser les données ou à ne pas les transférer vers les Etats-Unis.
Face aux questionnements des différents organismes, l’autorité de contrôle confirme également que le consentement des personnes concernées ne permet pas de transférer les données de manière licite (exception prévue à l’article 49 du RGPD), et ce dans la mesure où le traitement n’est pas occasionnel mais systématique.
Le recours à un serveur proxy envisagé par la CNIL
La CNIL indique néanmoins que le recours à un serveur mandataire, ou « proxy », peut éventuellement permettre d’éviter un contact direct entre l’internaute et les serveurs de Google Analytics. Ce serveur, qui concentrerait les données collectées lors des visites avant de les transmettre auprès d’un service de mesure d’audience, pourrait permettre d’utiliser de tels services tout en restant conforme au RGPD.
Utiliser un proxy pour pseudonymiser les données
Le recours à un proxy permettrait de pseudonymiser les données de navigation avant de les transmettre à un service de mesure d’audience comme Google Analytics. Ce-dernier procédé entraverait la possibilité pour Google d’identifier les internautes qui ne seraient pas en mesure de suivre leur navigation en dehors du site.
Les mesures à mettre en œuvre en cas de recours à un proxy
Un certain nombre de conditions doivent néanmoins être remplies pour que l’utilisation d’un proxy soit conforme au RGPD. Le serveur en lui-même doit être hébergé conformément à la réglementation et devra être localisé sur le sol européen.
La CNIL note également que certaines mesures sont indispensables pour assurer la conformité du traitement :
- Les adresses IP ne doivent pas être transférées vers les serveurs de l’outil de mesure ;
- Le proxy doit remplacer les identifiants des utilisateurs ;
- L’information de site référent externe doit être supprimée ;
- Les paramètres contenus dans les adresses URL doivent également être enlevés ;
- Les informations pouvant participer à la génération d’une empreinte doivent être traitées à nouveau ;
- Aucune collecte d’identifiant entre sites ne peut avoir lieu ;
- Toute donnée pouvant mener à une réidentification doit être supprimée.
Sous ces conditions strictes, il serait possible de transférer des données pseudonymisées en dehors de l’Union européenne, notamment auprès de Google Analytics.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez ici.