Quel est l’impact de la décision de la CNIL ?
Le 10 Février 2022, la CNIL a rendu une décision primordiale concernant Google Analytics. En effet, la CNIL considère que l’usage de Google Analytics par un site web représente une violation des articles 44 et suivants du RGPD.
Cette décision a été prise à la suite de plusieurs plaintes de l’association NYOB auprès de la CNIL, elle devait se prononcer sur la légalité du transfert de données vers les USA. Cependant, au regard de ses observations sur les sites concernés, elle a conclu que les conditions de légalité n’étaient pas réunies.
Les sites concernés ont reçu une mise en demeure : ils ont un mois pour se mettre en conformité. La CNIL n’a pas dévoilé le nombre de sites et les noms de domaines concernés, mais d’après les documents de NYOB, il s’agirait de Décathlon France SA, Auchan E-commerce France et Sephora SAS.
Cette décision semble, à première vue, ne pas impacter les autres sites qui ne sont pas concernés. Sachez que si vous utilisez Google Analytics, il suffirait qu’une personne physique ou morale porte plainte auprès de la CNIL et qu’elle s’en saisisse pour que vous soyez face à la même situation que ces trois sites visés.
Que faut-il faire ?
Google Analytics, bien qu’étant la solution la plus utilisée, n’est pas le seul outil du marché. La CNIL a publié une liste des solutions de mesure d’audience qui offrent des possibilités de paramétrages permettant le respect les règles RGPD.
AT Internet, Matomo, Eulerian Technologies, Beyable, Plausible, Abla Analytics… sont des solutions présentes dans la liste de la CNIL.
Cela nous rappelle l’importance de ne pas mettre tous nos œufs dans le même panier. Il peut être pertinent d’installer une alternative à Google Analytics en parallèle en veillant à ce que le traitement des données soit conforme au RGPD.
Il est également conseillé de vérifier la configuration de vos propriétés et vues Analytics afin de réaliser un état des lieux des informations que vous transmettez. Ceci va vous permettre de minimiser la récolte de données. Cette action peut être menée sur les autres outils utilisés par l’entreprise.
Et Google dans cette histoire ?
Contrairement à ce qu’on a pu entendre ou lire, ce n’est pas Google Analytics qui a reçu une mise en demeure. Ce sont bien les sites évoqués plus haut. Ce sont les éditeurs des sites web qui doivent agir pour prouver leur conformité avec le RGPD.
Bien que Google ne soit pas directement concerné, cette décision de la CNIL peut grandement impacter ses clients. Google a donc annoncé l’ajout prochain de paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourront ainsi continuer d’utiliser Google Analytics tout en atteignant leurs objectifs de conformité au RGPD.