Après la CNIL autrichienne le mois dernier, c’est au tour de la CNIL française de prendre position. Et sans trop de surprise, elle a mis en demeure un gestionnaire de sites le 10 février dernier.
Ce dernier, dont l’identité n’a pas été communiquée, doit prendre des mesures complémentaires pour continuer à utiliser Google Analytics en respectant les principes du RGPD ou arrêter d’utiliser l’outil dans un délai d’un mois.
Le raisonnement est le même au niveau européen : c’est le transfert de données personnelles vers les États-Unis qui est en cause.
Et entre l’adresse IP (est-elle bien anonymisée ? c’est flou), des identifiants uniques côté Google et des cookies… il y a bien des données personnelles indirectement identifiantes.
Pourquoi maintenant ?
On assiste d’ailleurs à une action coordonnée de toutes les CNIL européennes qui répondent à des plaintes déposées en août 2020 par les activistes du collectif NOYB.
Elles souhaitent faire des exemples, taper sur Google et entamer un bras de fer avec les États-Unis.
Alors oui. Il y a un besoin de régulation. Oui, il faut un nouveau cadre. Il faut protéger les données personnelles des ressortissants européens.
Mais faut-il le faire à coups de mises en demeure médiatiques ? Afin que les autres acteurs aient peur du gendarme ?
Hélas, il y a une forme de violence qui empêche de prendre suffisamment de recul et de percevoir toutes les ramifications de ces décisions.
D’autant plus qu’il y a un raccourci malsain (et nous l’amplifions en parlant d’illégalité nous aussi) qui laisse croire que parce qu’une société est mise en demeure avec une configuration particulière de Google Analytics, tous les sites qui l’utilisent (avec des configurations diverses) le sont aussi.
Ce n’est pas forcément la réalité… mais c’est ce que tout le monde retiendra de ce tribunal médiatique.
Que faire ?
Il y a tout de même 3 pistes qui émergent :
- Google pourrait permettre à ses clients européens de stocker leurs données en Europe. Et puisque l’on contractualise avec Google Irlande, nous serions dans les clous. (Il reste la problématique du consentement côté ePrivacy, mais c’est un autre sujet.)
- Les éditeurs de sites pourraient anonymiser toutes les données envoyées à Google Analytics, il n’y aurait ainsi plus de données personnelles. Nos stagiaires ont pris l’habitude d’anonymiser l’adresse IP depuis des années ; on voit que certains poussent l’anonymisation plus loin.
- Et peut-être que nous pourrions avoir droit à un nouveau Privacy Shield grâce auquel les services de renseignement américains ne pourraient pas accéder aux données personnelles des européens.
🧑🍳 Notre avis :
La CNIL a annoncé que le cloud sera un de ses enjeux prioritaires de 2022. Et vivement leurs premières prises de position.
Parce qu’encore une fois, il est facile de regarder les cookies d’un site, déterminer les outils qu’il utilise et le dénoncer.
Mais quid des logiciels de messagerie ? Du stockage des documents dans le cloud ? Des outils de communication interne ? Des newsletters ?
Faut-il tout rapatrier dans l’Union Européenne ? Et entamer une lourde et longue transition de nos systèmes d’information ?
Ça manque encore de clarté !
Pour en savoir plus :
- L’annonce de la mise en demeure par la CNIL (en français)
- La décision détaillée (anonymisée) dans son intégralité (PDF en français)
- L’annonce de Google quant à de nouveaux réglages de conformité (en français)
- Un tutoriel technique pour utiliser Google Analytics en conformité (en français, technique)
🤔 On ne peut pas changer d’outil de mesure statistique tous les quatre matins en cédant à la panique.
Alors on attend que la situation se décante avant de prendre position dans notre formation WordPress.
Aucun commentaire