Largement utilisé comme outil de mesure d’audience, Google Analytics est pourtant pointé du doigt par la CNIL pour défaut de conformité avec le RGPD. En cause, la sécurisation des données tiers lors des transferts. Pourtant, des solutions existent
Depuis un an maintenant, la CNIL a régulièrement mis en demeure différents organismes utilisant Google Analytics en raison de transferts illégaux de données vers les Etats-Unis. En cause, le processus de transfert, qui ne répond pas aux exigences imposées par le RGPD. Pour répondre à cette problématique et encourager chacun à développer une stratégie de données responsable, la CNIL a édité des recommandations opérationnelles à destination des éditeurs. Objectif : opérer un transfert de données Google Analytics, tout en respectant la confidentialité des données utilisateurs.
Quand la CNIL désapprouve le transfert de données via Google Analytics…
Tout commence avec l’arrêt du 16 juillet 2020 promulgué par la Commission Européenne, qui invalide le Privacy Shield, dispositif qui jusqu’alors encadrait le transfert des données entre l’Europe et les Etats-Unis. Par cet arrêt, la Commission Européenne décrète que les garanties offertes par les Etats-Unis ne sont pas suffisantes, notamment face au risque d’accès aux données personnelles des résidents européens par les services de renseignements américains.
Consécutivement à cet arrêt, la CNIL est sollicitée à de multiples reprises quant à l’utilisation, par des sociétés françaises, de Google Analytics, édité aux Etats-Unis. Après étude, la CNIL a conclu que l’usage de l’outil de mesure d’audience le plus démocratisé du marché n’était, effectivement, pas suffisamment encadré.
Pour la CNIL, une simple modification des paramétrages, notamment par le biais des clauses contractuelles types, n’est pas suffisante pour garantir la sécurisation des données et se mettre en conformité avec RGPD.
Bien que de multiples tentatives aient été faites en ce sens, la CNIL confirme les paramétrages suivants ne satisfont pas les exigences imposées par le Commission Européenne :
- Modification du paramétrage des conditions de traitement de l’adresse IP
- Chiffrement de l’identifiant généré par Google Analytics
- Remplacement de l’identifiant généré par GA par un identifiant généré par l’opérateur
Toujours selon la CNIL, aucune de ces trois solutions ne se révèle suffisante pour garantir qu’une éventuelle réidentification de l’utilisateur n’aura pas lieu. En cause, la persistance du traitement de l’adresse IP par Google. Pour répondre aux attentes de la CNIL, il faudrait que ces options bloquent l’accès aux données. Or, dans ces trois cas, un contact direct persiste entre le terminal de l’utilisateur et les serveurs de Google, par le biais de la connexion HTTPS.
Les requêtes qui en résultent permettent alors l’accès à l’adresse IP de l’utilisateur ainsi qu’aux datas stockées via son terminal. Lesquelles peuvent être « réassemblées » pour réidentifier l’utilisateur et accéder à son historique de navigation, via les sites utilisant Google Analytics.
Pour la CNIL, la seule option viable pour un transfert de données en conformité RGPD est de parvenir à rompre le contact entre le terminal et le serveur. Un constat qui vaut pour Google Analytics, mais aussi tout autre outil de mesure soumis aux règles RGPD.
Transfert de données Google Analytics, la proxyfication comme solution…
Au vu de la problématique énoncée, la CNIL propose comme solution de développer la proxyfication comme solution conformité. Concrètement, il s’agit de s’appuyer sur l’utilisation d’un serveur mandataire, le proxy, pour créer une couche intermédiaire, limitant tout contact direct entre le terminal utilisateur et les serveurs Google.
Évidemment, pour respecter RGPD, ce proxy doit répondre, lui aussi, à certaines exigences. Il doit notamment permettre la pseudonymisation avant export des données. Concrètement, il s’agit de s’assurer que les données personnelles pseudonymisées ne peuvent être raccordées à une personne physique, y compris en les recroisant avec des datas issues d’autres sources.
Outre l’étanchéité des données lors du transfert, il est impératif que l’écosystème déployé rend impossible la réidentification de la personne, y compris face à des moyens technologiques conséquents.
Si cette solution est conforme avec RGPD, la CNIL attire néanmoins l’attention sur l’investissement demandé pour la mettre en œuvre, tant financier qu’opérationnel. En réponse à cette contrainte, la CNIL invite les éditeurs à se tourner vers des solutions autres que Google Analytics, qui elles, ne réalisent pas de transfert de données hors de l’Europe.
Transfert de données Analytics et proxyfication, quels critères respecter ?
Si vous souhaitez conserver Google Analytics comme outil de mesure d’audience et optez pour la stratégie de proxyfication, la CNIL a publié différentes recommandations sur les prérequis à mettre en œuvre.
Ainsi, le serveur intégré dans la proxyfication devra respecter les impératifs suivants afin de garantir la conformité du process :
- L’absence de transfert de l’adresse IP vers le serveur de Google Analytics ou autre outil de mesure : si une localisation est nécessaire, celle-ci doit provenir du proxy et garantir un maillage suffisamment large pour éviter toute réidentification.
- Le remplacement de l’identification utilisateur par le serveur : pour renforcer la pseudonynisation de la data, l’algorithme doit attribuer une variable temporelle et assurer des niveaux de collision suffisants.
- La suppression des referers.
- La suppression des paramètres contenus dans les url, par exemple, les UTM ou les redirections.
- Le retraitement des données incluses dans la génération d’une empreinte, tels que les user agents.
- L’absence de collecte d’identifiants entre différents sites, tels que les ID uniques.
- La suppression de toutes autres données pouvant contribuer à la réidentification.
En parallèle, le serveur proxy utilisé doit, lui aussi, être hébergé dans un écosystème garantissant que les données ne sont transférées hors de l’Union Européenne. Pour conclure, la CNIL rappelle qu’il appartient aux responsables des données de s’assurer que ces paramètres sont réunis et maintenus au fil des évolutions.
Dotée d’une solide expertise en la matière, l’équipe JVWEB peut vous accompagner dans vos problématiques de migration Google Analytics. Et si vous commenciez par découvrir notre dernier webinar, dédié au passage vers GA4 ?