03 74 09 58 40         contact@extern-dpo.fr        
Google Analytics et transferts de données : comment se mettre en conformité ?
Outil de mesure d'audience

Source : Cnil.fr


A la suite d'un processus de coopération avec les autorités européennes, la CNIL a mis en demeure plusieurs organismes le 10 février 2022, car ils transféraient illégalement des données vers les Etats-Unis via Google Analytics. Cependant, l'utilisation d'un proxy configuré correctement peut limiter les risques pour les personnes concernées. 

Le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l'Union Européenne et les Etats-Unis, a été invalidé par la Cour de justice de l'Union européenne. La législation états-unienne n'offre pas de garanties suffisantes face au risque d'accès par les autorités, notamment les services de renseignement, aux données personnelles de résidents européens.

A la suite de cette invalidation, plusieurs plaintes ont été déposées auprès de la CNIL, mettant en cause l'utilisation de Google Analytics par des sociétés françaises. Statuant sur ces plaintes, la CNIL a estimé qu'elles étaient fondées et a mis en demeure les sociétés en question de se mettre en conformité. Pour rappel, la simple mise en œuvre de clauses contractuelles types ou la modification du paramétrage de l'outil ne sont pas suffisants pour être en conformité.

Afin de répondre aux exigences du RGPD sur le traitement des données à caractère personnel, il est nécessaire de mettre en place des mesures techniques et organisationnelles permettant de limiter l'accès à ces données par des autorités extra-européennes. Dans le cas de Google Analytics, il est nécessaire de mettre en place un dispositif permettant de rompre le contact direct entre le terminal de l'internaute et les serveurs de Google. Plusieurs solutions existent pour mettre en place ce type de dispositif, notamment les proxies, les VPNs ou les serveurs dédiés

La proxyfication, une solution possible

Un proxy permet d'éviter tout contact direct entre le terminal de l'internaute et les serveurs de l'outil de mesure. Il s'agit donc d'une solution pour éviter la réidentification de la personne. Afin de limiter les données transférées, le serveur devra mettre en œuvre un ensemble de mesures. 

La CNIL considère, en principe, comme nécessaire le fait que : 

  • L'outil de mesure ne doit pas transférer l'adresse IP vers ses serveurs. Si une localisation est transmise, elle doit être opérée par un serveur proxy et son niveau de précision doit empêcher la réidentification de la personne ; 
  • L'algorithme de remplacement d'identifiant utilisateur par un serveur de proxyfication doit garantir une probabilité élevée que deux identifiants différents donnent le même résultat après hashage, et ajouter à cette donnée une valeur qui change au fil du temps pour que le résultat du hashage ne soit pas toujours identique pour un même identifiant ; 
  • La suppression de l'information de site référent externe au site ;
  • La suppression de tout paramètre contenu dans les URL collectées ;
  • Le retraitement des informations pouvant participer à la génération d'une empreinte ;
  • L'absence de toute collecte d'identifiant entre sites (cross-site) ou déterministe (CRM) ;
  • La suppression de toute autre donnée pouvant mener à une réidentification. 

Enfin, il est important que les conditions d'hébergement du proxy soient appropriées. Celui ci doit être hébergé dans des conditions permettant de garantir que les données qu'il sera amené à traiter ne seront pas transférées vers un pays n'assurant pas un niveau de protection pour les données personnelles équivalent à celui prévu dans l'Espace économique européen. 


Vous avez une question juridique concernant la réglementation sur la protection des données ? Extern DPO peut mettre à votre disposition une hotline afin de répondre à vos interrogations sur votre conformité RGPD. Nos experts apporteront des réponses claires et précises pour vous aider au mieux dans votre démarche. 


La transmission de fichiers de donateurs entre associations
Les règles à suivre en matière de prospection caritative