CNIL et Google Analytics : la fin du bras de fer ?

ga-cnil

Bonne nouvelle pour les adeptes de Google Analytics ! Dans un communiqué publié le 7 juin 2022, la CNIL (commission nationale de l’informatique et des libertés) laisse entrevoir une solution pour que les entreprises puissent continuer à utiliser l’outil de mesure d’audience. En utilisant “la proxyfication” et en respectant d’autres règles de confidentialité que la CNIL impose, les annonceurs devraient ainsi pouvoir exploiter la plateforme de Google en toute légalité. Alors qu’en est-il vraiment, qu’est-ce que la proxyfication et comment la mettre en place ? Décryptage.

 

Pourquoi Google Analytics n’est pas « nativement » conforme au RGPD ?

En début d’année, la CNIL a mis en demeure des sites Français qui utilisaient Google Analytics. La commission a estimé qu’en raison du transfert de données vers les États-Unis, le RGPD n’était pas respecté. Depuis, des discussions ont eu lieu entre les différentes instances politiques et Google tente de montrer patte blanche. Toutefois, les efforts fournis ont été jugés insuffisants par la CNIL. Voici quelques raisons :

 

1/ Le stockage des données collectées se fait en dehors de l’Union Européenne

La principale difficulté réside dans le lieu d’hébergement des données. En effet, le stockage réalisé sur des serveurs localisés aux Etats-Unis laisse la possibilité aux autorités et services de renseignements américains d’avoir accès aux différentes informations sur une simple demande. La CNIL considère cela comme non-conforme à ses exigences.

 

2/ Les mesures d’anonymisation et de pseudonymisation sont jugées comme incomplètes

Dans sa nouvelle version nommée GA4, google a introduit une fonctionnalité d’anonymisation d’adresses IP. Malgré cela, la CNIL a estimé que ce n’était pas suffisant considérant que tous les transferts de données n’étaient pas concernés par ce nouvel outil.

Également, elle appuie le fait que Google ne fournit pas d’éléments assez clairs et manque de transparence sur la temporalité de l’anonymisation de l’IP. En effet, cette dernière a-t-elle lieu avant ou après le transfert de données aux Etats-Unis ? Une question pour laquelle il n’y a pas encore de réponses concrètes.

Un autre paramétrage est également pointé du doigt, il s’agit du chiffrement de l’identifiant généré par Google Analytics. Selon l’instance, ce dernier, plus connu sous le nom de “client ID”, n’offre pas les garanties nécessaires à une non-réidentification des utilisateurs.

 

Continuer à utiliser Google Analytics grâce à la proxyfication

C’est en tout cas la promesse faite par la CNIL qui recommande d’utiliser un serveur mandataire (proxy), dans sa communication du 07 juin 2022, “Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ?”.

L’idée du serveur proxy est de suspendre la communication directe entre le terminal d’un utilisateur et les serveurs de Google, et cela, dans le but de garantir la non-réidentification d’un individu.

 

Qu’est-ce qu’un serveur proxy et quels sont ses avantages ?

Le proxy agit comme un intermédiaire qui intervient entre un site web et un outil d’analyse d’audience comme Google Analytics. Plutôt que la connexion se fasse directement de votre site, vers Google Analytics, elle se fait de votre site vers le serveur mandataire. Cette intermédiaire empêche ainsi Google de communiquer directement avec votre site web et par conséquent de récolter des informations non-hachées ou non-anonymisées sur les utilisateurs.

En utilisant des serveurs conformes aux exigences de la CNIL (exemple OVH), vous obtenez une maîtrise complète de la donnée et pouvez donc décider d’envoyer des informations vers des points de terminaison comme Google Analytics, Facebook Ads ou Matomo, en respectant la vie privée des utilisateurs.

cnil-et-google-analytics

Quelles règles la proxyfication doit-elle suivre pour être conforme ?

La CNIL est formelle, pour que la proxyfication soit valable et conforme, les entreprises doivent suivre une liste de prérequis :

  • Proscrire le transfère de l’adresse IP de l’utilisateur vers les outils de mesure d’audience ;
  • Pseudonymiser l’identifiant utilisateur (user-id) ;
  • Retraiter les informations pouvant participer à la génération d’une empreinte (fingerprint) ;
  • Supprimer l’information du site référent ;
  • Abandonner les paramètres contenus dans l’url collectée (paramètres utm) ;
  • Arrêter la collecte d’identifiant entre sites (cross site) ou déterministe (CRM);
  • Bannir l’ensemble des données qui peuvent mener à une réidentification.
 

Comment réagir face à ces nouvelles annonces ?

Installer et configurer correctement un tracking côté serveur (proxy) est la seule solution viable pour pérenniser l’utilisation de Google Analytics. Si pour vous la proxyfication n’est pas envisageable dans votre entreprise, soit par manque de temps ou de compétences, l’option la plus simple est de vous tourner vers un outil d’analyse d’audience reconnu par la CNIL et ne nécessitant pas d’installation de serveur proxy. Il en existe de nombreux comme Matomo ou AT internet (Piano).

Toujours est-il, qu’avec la fin des cookies tiers prévue pour fin 2023, le tracking côté client, comme il est fait aujourd’hui ne sera plus envisageable et vous devrez un jour où l’autre passer par la proxyfication. Dès lors, n’est-il pas judicieux d’anticiper dès maintenant les évolutions futures ?

Vous souhaitez être accompagné dans la mise en place d'un tracking côté serveur ?

Partager cet article :