Puis-je utiliser Google Analytics sur mon site internet ?

Quelles sont les conséquences de la décision autrichienne ?

Il est probable que d’autres États suivent cette décision dans la mesure où les autorités européennes travaillent régulièrement de concert : ainsi, à défaut de réaction de la part du géant nord-américain, il n’est pas exclu que les autres autorités de protection des données suivent cette position. La CNIL a d’ailleurs d’ores et déjà été saisie du sujet par l’association Interhop dans le cadre plus restreint de l’utilisation de Google Analytics par des entreprises de e-santé.

Cela est d’autant plus probable que le Contrôleur européen de la protection des données (CEPD) lui même a critiqué l’utilisation de Google Analytics par le Parlement Européen, estimant que ce dernier n’a pas « fourni de documentation, de preuve, ou toute autre information à propos des mesures contractuelles, techniques ou organisationnelles mises en place afin d’assurer un niveau de protection des données personnelles transférées essentiellement équivalent  » (CEPD, case 2020-1013).

Au Pays-Bas, l’autorité de protection des données a annoncé avoir reçu deux plaintes relatives à l’utilisation de Google Analytics. L’une d’elles provient sans doute de l’association NOYB dirigée par Max Schrems, qui a transmis 101 plaintes aux différentes autorités de protection des données des Etats-Membres. L’autorité néerlandaise a également annoncé que les suites de la procédure permettront de déterminer si l’outil sera autorisé aux Pays-Bas ou non.

En France, par un article du 27 mai 2021, la CNIL a invité les établissements de l’enseignement supérieur et de la recherche à ne plus recourir aux outils collaboratifs états-uniens (de type SharePoint), précisément parce qu’il pouvait y avoir des flux de données (parfois sensibles) vers les Etats-Unis qu’il n’est pas possible de contrôler. En l’absence de garanties suffisantes, ces flux ne sont pas conformes au RGPD.

Le gouvernement s’est également saisi de la question de l’utilisation d’outils états-uniens, en particulier la DINUM (Direction interministérielle du numérique) qui a, en septembre 2021, envoyé une note à tous les secrétaires généraux des ministères invitant à ne pas utiliser Office 365. En effet, l’utilisation de cet outil ne permet pas de respecter la règle 9 de la doctrine cloud de l’Etat, celle -ci précisant que l’offre « devra impérativement respecter la qualification SecNumCloud et être immunisée contre toute réglementation extracommunautaire » qui permettrait l’accès aux données, tels que le Cloud Act, le FISA et l’Executive Order 12333 aux Etats-Unis.

L’affaire est donc à suivre, mais il semble qu’un effet domino soit en train de se mettre en place. Nous ne pouvons que vous recommander d’envisager de changer d’outil statistique si jamais vous utilisez encore Google Analytics. De nombreuses alternatives hébergées en Europe voire auto-hébergées existent et n’attendent qu’à être utilisées ! En France, la CNIL recommande des outils tels que Matomo ou encore l’outil d »AT Internet. Nous pensons toutefois qu »AT Internet ne devrait plus être recommandé par la CNIL pour les raisons évoquées dans un article dédié, c’est pourquoi nous vous conseillons de privilégier Matomo.

Mise à jour du 10/02/2022 : La CNIL interdit l’utilisation de Google Analytics

Il n’a suffit que de quelques jours après la publication de notre article pour que la CNIL prenne position quant à l’utilisation de Google Analytics. La Commission a suivi la décision de son homologue autrichien, estimant que même si « Google a adopté des mesures supplémentaires pour encadrer les transferts de données » , ce n’est toujours pas suffisant pour garantir la conformité au RGPD des potentiels de données vers les Etats-Unisdans la mesure où elles ne permettent pas d’ « exclure la possibilité d’accès des services de renseignement américains aux données ».
Une analyse plus complète sur cette décision est disponible ici.

Pour approfondir …