Google Analytics est-il illégal dans l'UE ?
Il est toujours possible d'utiliser Google Analytics de manière conforme à la loi en Europe. Nous vous expliquons ici comment.
Début 2022, les autorités autrichiennes et françaises de protection de la vie privée ont déclaré que l’utilisation de Google Analytics était illégale pour les entreprises européennes en raison de violations de la vie privée. Aujourd’hui, les autorités norvégiennes et danoises de protection des donnéesont expliqué comment les entreprises peuvent continuer à utiliser Google Analytics dans le respect de la loi.
L’autorité norvégienne de protection des données explique :
“Depuis les décisions de nos collègues européens, nous avons examiné de plus près l’outil et les paramètres spécifiques que vous pouvez utiliser si vous souhaitez utiliser Google Analytics. C’est d’autant plus pertinent que, dans le sillage de la première décision autrichienne, Google a commencé à mettre à disposition des paramètres supplémentaires concernant les informations qui peuvent être collectées via l’outil. Cependant, la conclusion est toujours que l’outil ne peut pas être utilisé légalement.”
Google Analytics est-il donc illégal en Europe ?
Oui, et non. Il est illégal pour les entreprises européennes d’utiliser Google Analytics “tel quel”. En appliquant des mesures techniques comme la pseudonymisation, il est toujours possible d’utiliser Google Analytics en conformité avec le GDPR.
Comment utiliser GA en conformité avec le GDPR ?
Une mesure technique possible qui doit être prise en compte lors de l’utilisation de Google Analytics est la pseudonymisation. Le GDPR européen exige que Google ne soit pas en mesure de savoir à qui appartiennent les données qu’il consulte. Cela inclut les adresses IP des personnes, mais aussi d’autres informations qui permettent de tirer des conclusions sur l’identité d’une personne.
Pour nettoyer les données avant de les envoyer à Google, les entreprises européennes doivent donc les envoyer via un reverse proxy.
Voici une instruction détaillée de la CNIL française sur la manière d’envoyer vos données analytiques à Google via un proxy.
Cependant, cela est plus facile à dire qu’à faire. La solution décrite par la CNIL - Commission Nationale de l’Informatique et des Libertés - est un véritable casse-tête technique.
L’idée est qu’au lieu d’envoyer tout le trafic de Google Analytics directement aux serveurs de Google, les entreprises pourraient le faire passer par un serveur qu’elles contrôlent et qui est situé dans l’UE.
Pour se conformer aux exigences du GDPR en matière de protection de la vie privée, les entreprises de l’UE doivent également débarrasser les données de toute information permettant de les identifier personnellement.
Notamment, la recommandation de la CNIL indique également que vous devez supprimer tous les paramètres de requête UTM, c’est-à-dire les identifiants de campagne. Cette exigence rend l’utilisation de Google Analytics inutile. Pourquoi une entreprise utiliserait-elle Google Analytics si elle ne peut pas utiliser les données pour savoir quelle campagne publicitaire fonctionne bien et laquelle ne fonctionne pas ?
Heureusement, il existe de nombreuses alternatives à Google Analytics basées ici en Europe, par exemple Matomo, Piwik, Plausible ou Econda.
Décisions autrichienne et française
Après la décision autrichienne rendue en février 2022, la CNIL, le gendarme français de la vie privée, a également déclaré que Google Analytics enfreint le GDPR et doit donc être interdit. La CNIL a publié un communiqué :
” La CNIL, en collaboration avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées par ce service [Google Analytics] sont transférées aux États-Unis. La CNIL considère que ces transferts sont illégaux et ordonne à un responsable de site internet français de se mettre en conformité avec le GDPR et, le cas échéant, de cesser d’utiliser ce service dans les conditions actuelles.”
Le Privacy Shield invalidé
Lorsque la législation sur le Privacy Shield a été invalidée en 2020, cela a eu des conséquences considérables pour les services en ligne américains opérant en Europe : Ils n’étaient plus autorisés à transférer les données des citoyens européens vers les États-Unis, car cela rendrait les données des citoyens européens vulnérables à la surveillance de masse américaine - une violation claire du GDPR européen.
Cependant, l’industrie technologique de la Silicon Valley a largement ignoré cette décision. Cela a maintenant conduit à la décision d’interdire Google Analytics en Europe. NOYB dit :
“Alors que cela (=invalidation du Privacy Shield) a envoyé des ondes de choc dans l’industrie de la tech, les fournisseurs américains et les exportateurs de données de l’UE ont largement ignoré l’affaire. Tout comme Microsoft, Facebook ou Amazon, Google s’est appuyé sur des clauses contractuelles dites “standard” pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.”
Aujourd’hui, l’autorité autrichienne de protection des données touche la même corde sensible que le tribunal européen en déclarant l’invalidité du Privacy Shield : Elle a décidé que l’utilisation de Google Analytics est illégale car elle viole le règlement général sur la protection des données (RGPD). Google est “soumis à la surveillance des services de renseignement américains et peut recevoir l’ordre de leur divulguer les données des citoyens européens”. Les données des citoyens européens ne peuvent donc pas être transférées outre-Atlantique.
Décision originale du tribunal autrichien.
Traduction automatique de la décision originale.
Quel était l’objet de l’affaire judiciaire ?
Le 14 août 2020, un utilisateur de Google avait accédé à un site web autrichien consacré aux questions de santé. Ce site utilisait Google Analytics, et les données concernant l’utilisateur étaient transmises à Google aux États-Unis. Sur la base de ces données, Google a pu déduire qui il était.
Le 18 août 2020, l’utilisateur de Google a porté plainte auprès de l’autorité autrichienne de protection des données avec l’aide de l’organisation de protection des données NOYB.
Maintenant, le tribunal autrichien a déclaré ce transfert de données de Google Analytics comme illégal en Europe.
Les données ne sont pas suffisamment protégées
Le problème est qu’en vertu de la loi américaine CLOUD, les autorités américaines peuvent exiger des données personnelles de Google, Facebook et d’autres fournisseurs américains, même s’ils opèrent en dehors des États-Unis, par exemple en Europe.
Ainsi, Google ne peut pas fournir un niveau de protection adéquat au titre de l’article 44 du GDPR - une violation manifeste des garanties européennes en matière de protection des données. Les clauses contractuelles standard invoquées par l’exploitant du site web n’aident pas, comme l’a reconnu en 2020 la Cour de justice de l’Union européenne (CJUE) dans sa décision sur le “Privacy Shield” (Schrems II).
Aucune preuve d’abus de données n’est nécessaire
Le facteur décisif pour l’évaluation juridique de l’utilisation de Google Analytics n’est pas de savoir si une agence de renseignement américaine a effectivement obtenu les données ou si Google a effectivement identifié l’utilisateur. Le simple fait que cela était théoriquement possible constituait déjà une violation du GDPR.
Les utilisateurs de Google peuvent toutefois effectuer un réglage dans leurs comptes Google pour empêcher Google d’évaluer en détail leur utilisation de sites Web tiers. Mais le fait que cette fonctionnalité existe est la preuve que Google est capable de fusionner les données d’utilisation avec l’individu.
Le plus grand succès de NOYB
Ce jugement est l’un des plus grands succès de l’organisation de protection des données NOYB à ce jour. Par conséquent, le NOYB et Max Schrems sont très heureux de la décision du tribunal autrichien :
“Il s’agit d’une décision très détaillée et solide. L’essentiel est là : Les entreprises ne peuvent plus utiliser les services en nuage américains en Europe. Cela fait maintenant 1,5 an que la Cour de justice l’a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée.”
Cet arrêt est le premier d’une série de 101 actions en justice intentées par l’association sans but lucratif de M. Schrems, NOYB, dans la plupart des États membres de l’Union européenne.
Des décisions similaires sur l’interdiction de Google Analytics devraient maintenant tomber en Allemagne, aux Pays-Bas et dans d’autres États membres de l’UE.
Supprimer Google Analytics ?
Tutanota - en tant que service de messagerie sécurisé qui se concentre sur la confidentialité des utilisateurs - n’a jamais utilisé Google Analytics.
Mais désormais, de nombreuses entreprises en Europe doivent se demander si elles doivent supprimer Google Analytics de leurs sites Web ou risquer une sanction pour violation du GDPR.
À long terme, il y aura deux options : Soit les États-Unis modifient leurs lois de surveillance pour renforcer leurs entreprises technologiques, soit les fournisseurs américains devront héberger les données des utilisateurs européens en Europe.
L’autorité néerlandaise chargée des données à caractère personnel (AP) - où deux décisions sur l’utilisation de Google Analytics sont encore en suspens - vient de mettre à jour ses propres conseils sur la “configuration de Google Analytics respectueuse de la vie privée”.
Avec cette mise à jour, l’AP a émis un avertissement :
“Veuillez noter : l’utilisation de Google Analytics pourrait bientôt ne plus être autorisée”.
Si les autorités danoises et norvégiennes de protection des données expliquent désormais comment Google Analytics peut être utilisé de manière conforme à la loi en Europe, la solution présentée n’est pas réalisable en raison de son incroyable complexité.
Conclusion
Si les entreprises technologiques de la Silicon Valley trouveront un moyen de continuer à proposer leurs services en Europe - d’une manière ou d’une autre - l’approche qu’elles ont adoptée après l’invalidation du Privacy Shield doit susciter plusieurs signaux d’alarme chez les entreprises européennes :
En tant qu’entreprise européenne, il n’est plus possible de confier les données sensibles des utilisateurs à des sociétés telles que Google qui ignorent délibérément la législation européenne en matière de protection de la vie privée et risquent de lourdes amendes pour leurs entreprises clientes européennes.
Les amendes infligées au site web autrichien consacré à la santé dans le cas évoqué n’ont pas encore été décidées, mais dans le pire des cas, l’amende s’élève à 20 millions d’euros ou à 4 % des ventes annuelles.
La protection de la vie privée devenant de plus en plus importante pour les consommateurs du monde entier, il est logique pour toute entreprise européenne de choisir des services qui se concentrent sur la protection de la vie privée de leurs utilisateurs.
Les alternatives européennes à Google Analytics sont Matomo, Piwik, Plausible ou Econda - pour n’en citer que quelques-unes.
Si vous cherchez à remplacer d’autres services Google, consultez notre guide pour récupérer votre vie privée en ligne avec de nombreuses alternatives Google.
Une excellente alternative à Gmail, par exemple, est Tutanota, le fournisseur de messagerie allemand sécurisé qui est en totale conformité avec le GDPR. 😉