Pendant deux longues années, un conflit a opposé la Commission Nationale de l’Informatique et des Libertés (CNIL) à Google Analytics. Au cœur du débat : la légalité du transfert de données personnelles des internautes européens vers les États-Unis. Mais depuis octobre 2023, la situation a pris un tournant décisif. Plongeons ensemble dans les coulisses de ce désaccord et découvrons comment il a été finalement résolu.
Retour sur un passé mouvementé
L’affaire a débuté en 2020 lorsque l’association Noyb a porté plainte contre de nombreuses entreprises européennes. Selon elle, ces sociétés enfreignaient le RGPD et l’arrêt Schrems II en utilisant Google Analytics, jugé illégal par l’autorité de contrôle autrichienne. Les sites web concernés ont alors dû se mettre en conformité et remplacer cet outil d’analyse.
En février 2022, la CNIL a à son tour mis en demeure un éditeur de site web utilisant Google Analytics. L’organisme reprochait à l’outil de transférer des données personnelles d’internautes européens vers les États-Unis sans garanties suffisantes. Google collectait en effet l’adresse IP, l’identifiant client, l’identifiant utilisateur et l’agent utilisateur des visiteurs à des fins publicitaires, sans les anonymiser complètement.
Les solutions adoptées par les éditeurs
Face à cette situation, les éditeurs de sites français utilisant Google Analytics ont dû s’adapter pour éviter les sanctions. Plusieurs options s’offraient à eux :
- La pseudonymisation, l’anonymisation ou la proxification des données
- La signature d’un Data Protection Agreement avec Google
- La réduction de la durée de vie des cookies Google Analytics
Mais la solution privilégiée par beaucoup a été de migrer vers une alternative à Google Analytics respectueuse du RGPD comme Matomo ou Piano Analytics. D’autres ont fait le choix de déployer Google Analytics en parallèle d’un autre outil conforme.
Un revirement de situation en octobre 2023
Le 10 juillet 2023, un événement majeur est venu changer la donne : la Commission européenne a reconnu les États-Unis comme un pays adéquat en matière de protection des données personnelles. Cette décision fait suite à l’application outre-Atlantique d’un décret renforçant les garanties sur les activités de renseignement.
Concrètement, cela signifie que le transfert de données des utilisateurs européens vers les États-Unis est redevenu légal. Et depuis octobre 2023, Google Analytics peut à nouveau être déployé en France en toute conformité avec le RGPD. La CNIL a d’ailleurs confirmé indirectement la légalité de l’outil.
Malgré ce feu vert, il est crucial de rappeler que l’obtention du consentement des internautes reste obligatoire pour collecter et utiliser leurs données personnelles.
Prudence et efforts continus
Si l’horizon semble s’éclaircir pour Google Analytics, les propriétaires de sites web doivent rester vigilants. La situation pourrait à nouveau évoluer, certains acteurs européens contestant encore l’accord UE-USA sur les transferts de données et réclamant son annulation.
De son côté, Google n’a eu de cesse ces derniers mois de mettre en conformité son outil phare avec le RGPD. La firme a même fait de ce respect des données personnelles un argument clé pour pousser les éditeurs à adopter GA4, la nouvelle version de Google Analytics, en 2024.
Au final, ce long feuilleton judiciaire aura eu le mérite de mettre en lumière les enjeux cruciaux liés à la protection de la vie privée des internautes. Un sujet plus que jamais au cœur des préoccupations dans notre société numérique. Et même si Google Analytics semble aujourd’hui tirer son épingle du jeu, gageons que la question du transfert et de l’exploitation des données personnelles continuera de faire débat dans les années à venir.
Abonnez-vous à notre newsletter pour recevoir les derniers articles directement dans votre boîte mail.
Commentaires