Aujourd’hui, je voudrais prendre un peu de recul sur la décision « Google Analytics » (i.e la décision anonymisée mettant en demeure un site internet français à cause de son utilisation de la fonctionnalité Google Analytics, datant du 10 février 2022).
Petit topo rapide sur Google Analytics :
Service web fourni par Google ;
Service de suivi de l’audience et du trafic auxquels les gestionnaires de site internet ont massivement recours : suivi des visites ou des pages consultées sur leur site et fourniture d’informations pour optimiser le référencement naturel ;
Utilisé par des millions de sites. En croisant plusieurs sources disponibles, Google Analytics représente environ 54% de parts de marché (donnée 2021) sur le suivi de l’audience et du trafic, ce qui est considérable.
C’est donc un tsunami qui déferlait le 10 février dernier dans l’univers de la mesure d’audience sur Internet avec cette décision de mise en demeure prise par la CNIL à l’encontre d’un site utilisateur de cette fonctionnalité largement plébiscitée.
Bien que je ne veuille pas m’attarder sur les motifs juridiques qui ont abouti à cette décision, je vais en quelques mots rappeler quel est le souci que la CNIL pointe du doigt ?
Depuis l’invalidation du Privacy Shield en juillet 2020 par la CJUE, les Etats-Unis sont considérés comme un pays n’offrant plus un niveau de protection des données suffisant au regard du RGPD. Concernant les transferts de données UE-USA, ceux-ci nécessitent, pour être valides, la mise en place de garanties appropriées. Or dans le cadre de la fonctionnalité Google Analytics, les mesures prises par Google ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données, ce qui fait courir un risque aux personnes utilisatrices du site en France.
Voilà 3 choses qui interpellent :
Tout d’abord, les raisons qui ont motivé le choix de s’attaquer à ce site en particulier alors que des milliers d’autres en France utilisent eux aussi la fonctionnalité Google Analytics (l’identité du site n’est d’ailleurs pas révélée). Aujourd’hui seul un site est concerné mais le raisonnement suivi par la CNIL pourrait très facilement s’appliquer à tous ceux qui utilisent le service Google Analytics. Aucun site n’est à l’abri d’un contrôle sur la base de ce motif. Va-t-on voir se succéder des mises en demeure en cascade ou va-t-on aboutir à une décision à l’encontre de Google Analytics directement (injonction d’adapter la fonctionnalité ou mesure d’interdiction) ?
Ensuite, la démarche consistant à pénaliser l’utilisateur du service (les clients de Google, autrement dit les gestionnaires de site qui utilisent Google Analytics) pour faire indirectement pression sur Google. L’approche « Je n’interdis pas mais je dissuade ». On a fraichement en mémoire la récente condamnation de Google par la CNIL à hauteur de 150 millions d’euros le 31 décembre 2021 (pour un manquement relatif aux cookies) en guise de cadeau de Noël. La CNIL se dirait-elle que les gestionnaires de site seront probablement plus intimidés et réceptifs aux mises en demeure et autres sanctions pécuniaires que ne peut l’être un mastodonte tel que Google ? Le pot de fer contre le pot de terre ;
Enfin, un texte dont on peut questionner l’adéquation avec l’objectif recherché : la CNIL n’a pas fait le choix de publier des lignes directrices ni des recommandations concernant les services de mesure d’audience et de trafic en pointant du doigt l’utilisation de Google Analytics. Non. La CNIL a fait le choix d’une mise en demeure à laquelle seul le destinataire est soumis. Etrange si l’on veut s’adresser au plus grand nombre ! Par conséquent et pour tous les autres sites actuellement utilisateurs de ce service, c’est le flou artistique. Tant le choix de la mise en demeure, que l’absence d’impact réputationnel ou financier, laisseront dubitatifs la majorité des gestionnaires de site quant à la balance bénéfice/risque à couper net l’utilisation de Google Analytics. Cela va nécessairement donner lieu à des discussions et arbitrages entre équipes digitale et juridique quant à l’urgence de faire intervenir un changement maintenant ou pas.
Quand on compare et que l’on regarde le sujet des cookies par exemple, les gestionnaires de site ont vraiment pu bénéficier d’une approche pédagogique de la CNIL : les recommandations de la CNIL d’automne 2020 sont venues dans un premier temps orienter sur la marche à suivre et puis dans un second temps, il y a eu des mises en demeure (été 2021).
A noter que ce service de Google n’est pas le seul à être visé : des plaintes visent également Facebook Connect, l’outil proposé par Facebook qui permet d’utiliser son compte sur le réseau social pour se connecter sur un site tiers. Avis aux sites qui utilisent ce service ! Affaire à suivre donc.
Deux approches possibles pour les gestionnaires de sites utilisateurs de ce service :
continuer d’utiliser Google Analytics pour tous les avantages que cela comporte (efficacité, coût, temps) et gérer le risque avec sa Direction : d’une part, une probabilité très aléatoire d’être dans le viseur dans l’océan de sites internet utilisateurs du service Google Analytics et d’autre part, un risque limité : pas de risque réputationnel car mise en demeure anonymisée et pas de sanction pécuniaire (mise en demeure de cesser l’utilisation du service) ;
cesser d’utiliser Google Analytics et migrer dès à présent vers un autre outil de mesure d’audience de trafic. La CNIL avait publié en septembre dernier une liste de solutions de mesure d’audience sur le marché qu’elle avait évaluées comme respectant l’anonymisation et ne nécessitant pas le consentement de l’internaute ; elles sont listées ici [1].