La CNIL livre ses recommandations pour recourir au service d’analyse de l’audience web de Google, tout en se mettant en conformité avec les règles européennes.
Les gestionnaires de sites web vont peut-être sortir de l’impasse. La CNIL vient en effet de publier ses bonnes pratiques pour continuer à utiliser Google Analytics sans enfreindre le règlement européen du RGPD.
L’autorité considère, comme ses homologues européennes, que l’outil d’analyse de l’audience de Google pose problème. Les données traitées et collectées sont en effet transférées vers des serveurs hébergés aux Etats-Unis. Il existe donc un risque que les services de renseignements américains y aient accès.
Un proxy comme solution
Pour parer à cette éventualité, la Commission suggère d’utiliser un proxy, un serveur mandataire, pour empêcher tout contact direct entre le terminal de l’utilisateur et les serveurs de Google Analytics. Mais cela ne suffit pas.
Il faut préalablement s’assurer que les données pseudonymisées ne permettent pas de ré-identifier les personnes. Pour cela, le serveur proxy doit remplir un certain nombre de conditions comme ne pas transférer d’adresse IP, par exemple. Et enfin être hébergé dans des conditions conformes aux règles européennes.
Cette mise au point survient après une salve de mises en demeure dans 27 pays européens contre des sites qui utilisaient Google Analytics. C’est cette procédure qui a déclenché une vaste réflexion sur le sujet de la part de beaucoup d’acteurs et qui permet aujourd’hui d’avancer des conclusions techniques.
Elle faisait suite à des plaintes déposées par l’association de Max Schrems NOYB (My Privacy is None of Your Business). Le tout s’appuie sur l’arrêt « Schrems II » pris par la Cour de justice de l’Union européenne en 2020 et qui avait invalidé le Privacy Shield. L’accord de principe conclu entre les Etats-Unis et l’Europe au mois de mars pour un nouveau Privacy Shield n’y change rien pour le moment.
Source :
la CNIL