La commission nationale Informatique et libertés tacle sévèrement les gestionnaires de sites internet sur le traitement des données par Analytics car il permet le transfert des données collectées vers les Etats-Unis. Analyse de la mise en demeure de la CNIL et des solutions de remplacement.
La mise en demeure du 12 février 2022 par la CNIL d’un responsable de site web donne un coup de pied dans la fourmilière dans le domaine du traitement des données personnelles des internautes. Arcane, une agence web et M13H, cabinet de conseil en data et technologies marketing, viennent de publier un document commentant la position de la CNIL. En parallèle, ce texte analyse la portée de la décision et propose des solutions.
Cette mise en demeure s’appuie sur l’invalidation du Privacy Shield (bouclier de protection américain des données) par la Cour de Justice de l’Union Européenne (CJUE) car il n’apporte pas de garanties suffisantes sur le transfert des données aux Etats-Unis. La Cnil donne un délai d’un mois aux responsables de sites pour se mettre en conformité.
La mise en cause des gestionnaires de sites évite soigneusement de pointer la responsabilité de Google en désignant les gestionnaires de sites Internet. En bref, c’est l’usage de l’outil qui est visé mais pas le fait qu’il soit proposé.
Ce même type de décision pourrait s’appliquer à d’autres outils marketing qui transfèrent la donnée vers les Etats-Unis. De quoi nourrir le débat sur la capacité des entreprises américaines ou celles ayant une activité aux Etats-Unis à satisfaire aux exigences du RGPD. Et cela, en raison de la portée juridique du CloudAct qui donne toute latitude aux américains pour accéder aux données personnelles sur le cloud en Europe.
Les trois types de solutions au niveau du marché
Il s’agit d’abord d’un nouvel accord de transfert de données en vue de remplacer purement et simplement le Privacy Shield. Le deuxième volet de mesures porte sur une modification par Google du fonctionnement de Google Analytics. Il n’est pas certain que le géant américain s’y conforme de bonne grâce mais c’est un passage obligé s’il veut se mette en conformité avec le RGPD.
Dans tous les cas, une analyse détaillée de chaque cas particulier dans les entreprises et institutions peut être confiée à un cabinet de conseils juridiques, avec les frais afférents.
En attendant, reste la solution pour les gestionnaires de sites Web de remplacer Google Analytics par d’autres outils de mesure de la fréquentation et d’optimisation des sites, validés par la Cnil. La Commission précise qu’il faut en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courantes du site web ou de l’application, avec, notamment, le recueil du consentement des visiteurs et la certitude que ces outils n’utilisent pas les données récoltées pour développer d’autres solutions. Il s’agit des outils BEYABLE Analytic de Beyable, de la version 6 Eulerian d’Eulerian Technologie, de Wysistat Business de Wysistat et autres utilitaires.
La mise en place des ces outils de substitution demande la refonte du processus d’analyse de la fréquentation et de l’optimisation des performances.