accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Transferts de données internationaux dans Google Analytics : comment mettre son outil de mesure d'audience en conformité avec le RGPD ?

AAI
CNIL, actualités, 7 juin 2022
[09.06.2022]

Le 10 février dernier, la CNIL a mis en demeure plusieurs organismes utilisant Google Analytics en raison des transferts illégaux de données vers les États-Unis. La Commission précise aujourd'hui que l'utilisation d'un proxy correctement configuré peut, cependant, constituer une solution opérationnelle pour limiter les risques pour les personnes.

Bref retour en arrière. À la suite de l'arrêt du 16 juillet 2020 voyant la Cour de justice de l'Union européenne invalider le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l'Union européenne et les États-Unis, la CNIL avait été saisie de plusieurs plaintes, déposées par l'association NOYB, mettant en cause l'utilisation par des sociétés françaises de l'outil de mesure d'audience des sites web Google Analytics, édité aux États-Unis. Statuant sur ces plaintes, la Commission a estimé qu'elles étaient fondées et a mis en demeure les sociétés en cause de se mettre en conformité (V. Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web).

À la suite de quoi, de nombreux acteurs ont cherché à identifier les paramétrages et mesures techniques pouvant permettre de continuer à utiliser Google Analytics tout en respectant la vie privée des internautes.

Sur ce point, la CNIL est catégorique : « une simple modification du paramétrage de l'outil est insuffisante ».

La solution de la proxyfication. - Pour autant, une solution reste possible : « la proxyfication », soit l'utilisation d'un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l'internaute et les serveurs de l'outil de mesure (donc en l'espèce de Google). Sous certaines conditions, toutefois.

Ainsi, ce serveur doit remplir un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s'inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021. En effet, « un tel dispositif correspondrait au cas d'usage de la pseudonymisation avant export de données. Comme indiqué dans ces recommandations, un tel export n'est possible que si le responsable du traitement a établi, au moyen d'une analyse approfondie, que les données personnelles pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable, même si elles sont recoupées avec d'autres informations. Il s'agit donc, au-delà de la simple absence de requête depuis le terminal de l'utilisateur vers les serveurs de l'outil de mesure, de s'assurer que l'ensemble des informations transmises ne permet en aucun cas une réidentification de la personne, même en prenant en compte les moyens conséquents dont disposent les autorités susceptibles de vouloir procéder à une telle réidentification ».

Mesures nécessaires à mettre en place. – Quelles sont-elles pour que la proxyfication soit valable ? La CNIL évoque, en détaillant pour chacune d'elles ce qu'il convient de prévoir :

- l'absence de transfert de l'adresse IP vers les serveurs de l'outil de mesure ;

- le remplacement de l'identifiant utilisateur par le serveur de proxyfication ;

- la suppression de l'information de site référent (ou « referer ») ;

- la suppression de tout paramètre contenu dans les URL collectées ;

- le retraitement des informations pouvant participer à la génération d'une empreinte (ou fingerprint) ;

- l'absence de toute collecte d'identifiant entre sites (cross-site) ou déterministe ;

- la suppression de toute autre donnée pouvant mener à une réidentification.

Conditions d'hébergement adéquates du proxy. - Le serveur de proxyfication devra aussi être hébergé dans des conditions permettant de garantir que les données qu'il sera amené à traiter ne seront pas transférées hors de l'Union européenne vers un pays n'assurant pas un niveau essentiellement équivalent à celui prévu dans l'Espace économique européen.

En tout état de cause, et conformément aux recommandations du CEPD, il reviendra aux responsables de traitement de procéder à une analyse sur ce point et de mettre en place les mesures nécessaires dans le cas où ils souhaitent utiliser ce type de solutions, ainsi que de vérifier le maintien de ces mesures dans le temps, au gré des évolutions des produits.