Google Analytics : des alternatives possibles ? (07/06/2022)
Le 7 juin 2022, la CNIL a apporté plusieurs réponses suite à la décision « Google Analytics » qu’elle a rendu le 10 février 2022. Dans cette décision, la CNIL mettait en demeure un gestionnaire de site internet français de cesser d’utiliser Google Analytics sous un mois, estimant que le transfert de données vers les Etats-Unis est contraire aux dispositions du Règlement Général de la Protection des données (RGPD). Cette décision fait donc suite à l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne en juillet 2020, qui déclare le Privacy Shield (règlement sur le transfert de données personnelles de l’UE vers les Etats-Unis) invalide.
Les organismes utilisant Google Analytics disposent alors d’un délai de 1 mois (possiblement renouvelable) à partir de leur mise en demeure pour réagir. Ils doivent ensuite justifier à la CNIL leur mise en conformité au RGPD, après avoir changé de prestataire.
La CNIL étudie d’autres solutions éventuellement possibles pour les organismes qui souhaitent continuer d’utiliser Google Analytics.
Selon la CNIL :
1. L’ajout de clauses contractuelles types et de garanties supplémentaires
Ces différentes mesures sont jugées insuffisantes par la CNIL étant donné qu’elles n’assurent pas une protection effective des données personnelles transférées vers les Etats-Unis. En effet, cela n’empêche pas les services de renseignement d’accéder aux données.
2. Paramétrer Google Analytics de manière à ne pas transférer de données personnelles en dehors de l’UE ?
Cette solution s’avère impossible, Google ayant indiqué que les données collectées par Google Analytics sont hébergées aux Etats-Unis. La CNIL précise que même en l’absence de transfert, il est possible que les autorités de pays tiers obligent les organismes à divulguer les données personnelles hébergées au sein de l’UE. Or, l’article 48 du RGPD n’autorise cet accès que dans le cas où un accord international entre le pays tiers et l’Etat membre concerné prévoit une telle communication.
3. Paramétrer Google Analytics de manière à ne transférer vers les Etats-Unis que les données anonymes
Il convient de différencier deux différentes mesures pouvant être mises en place par les organismes afin de sécuriser les données.
Pseudonymisation : traitement de données personnelles consistant à remplacer les données identifiantes par un jeu de données indirectement identifiantes, rendant l’identification de la personne physiques impossible sans le jeu de données.
Anonymisation : utilisation de techniques rendant impossible l’identification de la personne physique par quelques moyens que ce soit, de manière irréversible. Le RGPD ne s’applique pas aux données anonymisées.
Google utilise des mesures de pseudonymisation, mais concernant ses mesures d’anonymisation des adresses IP, elles ne sont pas applicables à tous les transferts et il n’est pas précisé si cette anonymisation a bien lieu avant le transfert vers les Etats-Unis ou après. De plus, l’utilisation d’autres services de Google en plus de celle de Google Analytics augmente les risques de recoupement de l’adresse IP.
Il est tout de même important de noter que le 18 juin 2021, le Comité européen de la protection des données (CEPD) admet la possibilité d’utiliser la pseudonymisation comme mesure supplémentaire à condition de s’assurer que la réidentification de la personne est impossible.
4. Chiffrer les données
Le chiffrement des données opéré par Google LLC s’avère insuffisant étant donné que l’outil a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession (dont les clés de chiffrement nécessaires afin de rendre les données lisibles).
Cependant, le chiffrement peut être considéré comme une garantie supplémentaire suffisante à condition que les clés de chiffrement soient conservées sous le contrôle exclusif de l’exportateur de données ou par d’autres entités dont le territoire offre un niveau de protection conforme aux exigences du RGPD.
5. Des garanties supplémentaires pour continuer à utiliser Google Analytics seul
La seule garantie supplémentaire envisageable consisterait à impliquer un service mandataire (« proxy »), qui permettrait d’éviter les contacts directs entre le terminal de l’internaute et les serveurs de l’outil de mesure, à condition que le serveur soit conforme avec les recommandations du 18 juin 2021 du CEPD.
6. Transférer les données avec le consentement explicite des personnes
L’article 49 du RGPD prévoit une dérogation dans certains cas particuliers pour lesquels le transfert de données est possible si la personne concernée a donné son consentement explicite. Cependant, cette dérogation n’est utilisable que pour les transferts non-systématiques et à durée déterminée (cela ne doit pas devenir la règle générale).
7. L’utilisation d’outils alternatifs
La CNIL a publié une liste d’outils alternatifs se limitant aux données strictement nécessaires à la fourniture du service, permettant à l’organisme de ne pas requérir le consentement de l’utilisateur. (Voir *Cookies : solutions pour les outils de mesure d’audience )
Attention : cette liste n’examine pas les enjeux des transferts internationaux actuels, notamment les conséquences tirées de l’arrêt Schrems II.
8. Adopter une approche par les risques (prise en compte de la probabilité des demandes d’accès aux données)
Cette alternative est impossible. L’accès aux données porte une atteinte grave aux libertés et droits fondamentaux des personnes concernées, il est donc nécessaire, lorsque cet accès est possible, de prendre des mesures techniques supplémentaires pour rendre l’accès impossible ou ineffectif.
Mettre son outil de mesure d’audience en conformité avec le RGPD (CNIL – 07/06/2022)
Comme évoqué précédemment, et toujours selon la CNIL, la solution la plus envisageable (en dehors du changement de prestataire) réside dans l’utilisation d’un proxy, qui correspondrait à la pseudonymisation avant export de données. Il est impératif que les données personnelles pseudonymisées ne puissent être attribuées à une personne physique identifiée ou identifiable. La réidentification doit être rendue impossible. La CNIL met alors en avant les critères nécessaires pour une proxyfication valable :
- L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure
- Le remplacement de l’identifiant utilisateur par le serveur de proxyfication
- La suppression de l’information de site référent externe au site
- La suppression des paramètres contenus dans les URL collectés
- Le retraitement des informations pouvant participer à la génération d’une empreinte, pour permettre de supprimer les configurations rares susceptibles de mener à une réidentification
- L’absence de collecte d’identifiant entre sites (ex : unique ID)
- La suppression de toute autre donnée susceptible de mener à une réidentification
- La mise en place de conditions d’hébergement du proxy adéquates garantissant le fait que les données ne seront pas transférées dans un pays n’ayant pas de règlementation équivalente aux dispositions du RGPD.
Cookie Wall / Paywall : recommandations de la CNIL (16/05/2022)
Le dépôt de traceurs (par exemple les cookies) permet au service de collecter des informations sur l’internaute telles que son âge, son lieu de résidence ou encore ses habitudes de consommation. De ce fait, l’internaute pourra avoir accès au service en ligne gratuitement en transmettant certaines de ses données personnelles en contrepartie, ce qui aura pour objectif notamment de proposer des publicités ciblées afin de faciliter l’achat.
Cependant, le RGPD exige que le service ait recueilli le consentement préalable de l’internaute avant de déposer des traceurs. En effet, pour être en conformité avec le RGPD, le consentement doit être :
- Informé : préciser le type de cookies, leur finalité, etc.
- Univoque : pas de consentement tacite, il faut un acte positif clair
- Libre : aucune conséquence négative en cas de refus de consentement
- Spécifique : l’utilisateur doit pouvoir consentir à certains types de cookies et en refuser d’autres
Les sites ont alors principalement recours au cookie wall pour pouvoir assurer l’obligation du recueil du consentement préalable de l’internaute.
Cookie Wall : conditionner l’accès de l’internaute à un service à l’acceptation du dépôt de traceurs sur son terminal.
Dans sa décision du 19 juin 2020 sur les cookie walls, le Conseil d’Etat indique que l’exigence d’un consentement libre ne peut pas justifier une interdiction générale de la pratique des cookie walls. Ainsi, le recours au cookie walls est possible. Cependant, il est nécessaire de garantir l’existence d’une alternative réelle et équitable en cas de refus des traceurs, permettant à l’utilisateur d’accéder au service sans cookie wall.
Pour que l’existence de cette alternative soit effectivement caractérisée, il ne faut pas qu’il y ait de déséquilibre entre l’éditeur du site et l’internaute, qui serait alors privé d’un véritable choix. La CNIL estime que le déséquilibre est caractérisé lorsque l’internaute n’a que peu ou pas d’alternatives au service, ou en cas d’exclusivité de l’éditeur sur les contenus ou services. L’alternative doit alors être facilement accessible.
Si l’éditeur souhaite conditionner l’accès à son site au consentement à certaines finalités des traceurs, il peut le faire à condition de démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé.
D’autres éditeurs vont conditionner l’accès à leur service au paiement d’une somme d’argent, ce sont les paywalls.
Paywall : obligation pour l’internaute qui refuse d’accepter les cookies de fournir une somme d’argent pour pouvoir avoir accès au site. L’utilisation des paywalls est autorisée étant donné qu’il s’agit d’une alternative au consentement aux traceurs. Cependant, il est nécessaire que le tarif proposé soit raisonnable, de manière à ne pas priver l’internaute d’un véritable choix. L’analyse du caractère « raisonnable » du tarif se fera au cas par cas.
L’éditeur va devoir :
- Informer les utilisateurs de l’usage de leurs données
- Limiter la collecte aux seules données nécessaires aux objectifs poursuivis
- Informer préalablement l’internaute et recueillir son consentement en cas de réutilisation des données collectées lors de la création du compte pour de nouveaux objectifs
Attention : même lorsque l’utilisateur a choisi l’accès payant au site en refusant le dépôt de traceurs, l’éditeur pourra demander son consentement au dépôt de traceurs lorsqu’ils sont imposés pour accéder à un contenu hébergé sur un site tiers. L’éditeur devra indiquer à l’internaute :
|
|||
Les risques en cas de non-respect du RGPD en matière de consentement aux cookies (Belgique, décision Roularta, 25/05/2022)
L’autorité de protection des données (APD) belge a procédé à une enquête concernant l’utilisation des cookies sur les sites de presse belges les plus populaires afin de vérifier leur conformité avec le RGPD et la directive ePrivacy. Le 25 mai 2022, elle a condamné le groupe Roularta d’une amende de 50.000 euros pour sa gestion des cookies sur les sites levif.be et knack.be. En effet, selon l’APD, le groupe Roularta ne respectait pas toutes les obligations relatives au consentement exigées par le RGPD :
- Consentement préalable : environ 60 cookies déposés sur l’appareil de l’utilisateur sans même avoir recueilli son consentement. Seuls deux cookies ont été jugés strictement nécessaires sur les deux sites (les cookies statistiques en question ont été jugés non strictement nécessaires à la fourniture du service demandé).
- Information à l’utilisateur : informations incorrectes et manque de clarté quant à l’utilisation des cookies (ex : cookies non documentés individuellement)
- Consentement univoque : certaines cases de consentement au dépôt de cookies étaient pré-cochées, ce qui ne respecte pas l’obligation prévue par l’article 7.1 du RGPD imposant de démontrer que la personne concernée a donné son consentement à l’installation des cookies qui ne sont pas strictement nécessaires.
- Violation du principe de responsabilité du responsable de traitement des cookies qu’il installe ou lit sur son site Web : en l’espèce, le groupe Roularta avait publié une clause de non-responsabilité pour les sites en question dans laquelle il prétendait ne pas être responsable du placement de cookies tiers sur ces sites.
- Durées de conservation injustifiées des cookies : la durée de conservation ne peut pas être indéfinie (en l’espèce, la politique en matière de cookies mentionne une durée de conservation en principe illimitée). Les cookies n’imposant pas le consentement de l’utilisateur doivent généralement être supprimés à la fin de la session du navigateur et parfois même plus tôt.
- Non-respect du retrait du consentement (article 7.3 du RGPD) : En l’espèce, le nombre de cookies ne diminuait pas après le retrait du consentement (le nombre augmentait pour le site Knack, et il était impossible d’utiliser l’outil de gestion des cookies après le premier consentement pour le site Le Vif).
L’APD sanctionne alors le groupe Roularta d’une amende d’un montant de 50.000 € et le contraint à se mettre en conformité avec le RGPD dans un délai de 3 mois à compter de la réception de la décision. Le groupe Roularta peut interjeter appel dans un délai d’un mois et la Chambre contentieuse poursuit son enquête auprès d’autres sites. A l’heure actuelle, cette décision ne reflète qu’une partie de l’enquête.