La Cnil a proposé des alternatives à Google Analytics

Le gendarme des données a indiqué que l’utilisation de Google Analytics viole le Règlement général sur la protection des données. Pratiquement six mois après sa déclaration, elle vient d’avancer des solutions pour remplacer cet outil. L’autorité administrative a ainsi mis en place une liste de services alternatifs conformes aux règles imposées par ce texte européen.

Google Analytics ne respecte pas le Règlement général sur la protection des données (RGPD). La Commission nationale de l’informatique et des libertés (Cnil) a souligné cette non-conformité en février 2022. Depuis, beaucoup s’interrogent sur les alternatives à ce service.

La Cnil a alors dressé une liste de 18 outils présentant des fonctionnalités similaires. L’on y trouve par exemple Wysistat Business, Thank-You Marketing, Retency Web, Nonli, Eulerian, CS Digital, Abla Analytics, etc. Le but de ces instruments se réduit à l’unique évaluation de l’audience de l’application ou du site web. Ceci lorsqu’ils sont convenablement paramétrés. Cette mesure peut inclure l’analyse des contenus regardés, l’amélioration de l’ergonomie, l’identification des problèmes de navigation…

Une des solutions envisageables repose sur l’utilisation d’un proxy

Ces solutions présentent une caractéristique commune : elles sont dispensées du recueil de consentement préalable des individus qui les utilisent. Cette exemption a été établie par le Comité européen de protection des données (CEPD). Un organe qui pense que ce processus ne s’applique qu’aux échanges d’informations non systématiques. Celui-ci ne saurait donc s’imposer à Google Analytics, d’après lui.

Le recours légitime à ces outils peut se fonder sur un autre élément. Il s’agit de la stricte limitation du traitement d’informations personnelles à leur fonctionnement, s’ils sont paramétrés correctement. Pour chacun d’entre eux, la Cnil a confectionné un guide et détaille la ou les versions concernées.

Pour qui souhaiterait toujours utiliser Gooogle Analytics seul, le gendarme des données a aussi évoqué une autre option. Elle consiste à passer par un proxy installé entre :

  • Les serveurs de Google ;
  • Les appareils des internautes.

L’objectif de cette alternative, qui pourrait intéresser une entreprise portage salarial comme CEGELEM, consiste à :

  • Soit pseudonymiser en amont certaines données accessibles aux serveurs de la firme de Redmond (paramètres des URL, adresse IP…) ;
  • Soit fermer totalement à ces derniers l’accès à ces informations.

La Cnil précise cependant que la technique du serveur mandataire peut s’avérer complexe à instaurer et dispendieuse.

Google Analytics envoie toujours les données aux États-Unis

Le problème principal avec Google Analytics, c’est que toutes les données qu’il recueille sont hébergées de l’autre côté de l’Atlantique. La configuration de l’outil de sorte à ne pas transférer d’informations personnelles hors de l’Union européenne est en conséquence impossible. Pourtant, les États-Unis sont connus pour ne pas garantir un niveau de sécurité suffisant à ces données. En tout cas, Bruxelles ne reconnaît pas la protection offerte par le pays sur le plan juridique.

La Cnil a prononcé la non-conformité de Google Analytics au RGPD après examen de plaintes de None of Your Business. L’organisation de protection de la vie privée ayant précisément déposé six recours devant l’autorité :

  • Trois portent sur l’utilisation de l’outil sur les sites sephora, decathlon et auchan ;
  • Trois concernent le recours à Facebook Connect pour les sites mobile free, leroymerlin et huffingtonpost.

La Commission a synthétisé dans une foire à question publiée en juin 2022 :

Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD.

Une version anglaise de cette FAQ a été mise en ligne le 20 juillet 2022.

Voir aussi :