Google Analytics n’est pas incompatible avec le Règlement général sur la protection des données (RGPD) en soi. Cependant, l’utilisation de Google Analytics doit être conforme aux obligations imposées par le RGPD en matière de collecte et d’utilisation des données personnelles des utilisateurs.
Pour être compatible avec le RGPD, l’utilisation de Google Analytics doit respecter les principes de licéité, de loyauté et de transparence. Cela signifie que la collecte et l’utilisation des données des utilisateurs doivent être effectuées avec leur consentement, et que les utilisateurs doivent être informés de l’utilisation de Google Analytics et de la manière dont leurs données seront traitées.
En outre, l’utilisation de Google Analytics doit également être conforme aux autres obligations imposées par le RGPD, notamment en matière de protection des données personnelles des utilisateurs et de mise en place de mesures de sécurité adéquates. Si ces obligations ne sont pas respectées, l’utilisation de Google Analytics peut enfreindre le RGPD.
En janvier 2022, la CNIL confirmait que Google analytics n’était pas conforme au RGPD et interdisait son utilisation
La CNIL peut-elle savoir si j’utilise google analytics ?
La CNIL peut effectuer des contrôles automatisés afin de vérifier si un site internet respecte les obligations imposées par le RGPD. Ces contrôles peuvent inclure la vérification de la présence de mentions légales sur le site, l’utilisation de cookies et d’autres technologies de suivi, et la collecte et l’utilisation des données personnelles des utilisateurs.
En ce qui concerne l’utilisation de Google Analytics sur un site internet, la CNIL peut vérifier si le site respecte les obligations imposées par le RGPD en matière de collecte et d’utilisation des données des utilisateurs. Elle utilise des robots qui listent les sites et voient rapidement si les cookies de google sont présents.
La Commission Nationale de l’Informatique et des Libertés (CNIL) effectue des contrôles pour vérifier si les entreprises et les organisations respectent les lois en matière de protection des données personnelles. Ces contrôles peuvent avoir différentes origines, y compris :
- Le programme annuel de contrôle de la CNIL, qui porte sur des thématiques spécifiques choisies en fonction de leur impact sur la vie privée des personnes.
- Les réclamations et les signalements reçus par la CNIL, qui peuvent indiquer des faits qui mettent en question la conformité aux règles en matière de protection des données personnelles.
- Les initiatives de la CNIL, qui peuvent viser à investiguer des thématiques d’actualité ayant des problématiques et des enjeux liés à la protection des données personnelles.
- Les dispositifs de vidéoprotection, qui sont contrôlés par la CNIL en vertu du code de la sécurité intérieure.
- Les procédures de contrôle clôturées, les mises en demeure et les sanctions, qui peuvent entraîner des investigations pour vérifier si les mesures de mise en conformité ont été prises par les organismes concernés.
Les thématiques de contrôles de 2022
Les thématiques étaient les suivantes :
- La prospection commerciale : avec de nombreuses plaintes déposées à la CNIL, la prospection commerciale non sollicitée, qui faisait partie du quotidien des Français, a fait l’objet d’une surveillance accrue par la commission. L’objectif était de veiller à la conformité au RGPD des professionnels de ce secteur, notamment lorsqu’ils revendaient des données personnelles.
- Les outils liés au télétravail : alors que le télétravail tendait à devenir une norme dans les entreprises, même en dehors de la crise sanitaire, la CNIL a souhaité observer de plus près les outils de surveillance utilisés par les employeurs pour assurer un suivi du temps et des tâches des salariés. L’objectif était d’assurer un équilibre entre la vie privée au travail et le contrôle légitime de l’activité des collaborateurs.
- L’utilisation du cloud : avec une technologie quasiment incontournable pour les entreprises à l’heure actuelle, la CNIL a estimé que l’utilisation du cloud était particulièrement susceptible de violer la protection des données personnelles. L’autorité visait notamment le transfert de données en dehors de l’Union européenne vers des pays qui n’assuraient pas le même niveau de protection.
La CNIL peut être aussi saisie via ce lien.
J’utilise Google analytics quels sont les risques ?
La CNIL va vous mettre en demeure.
Si une entreprise reçoit une mise en demeure de la part de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour non-conformité aux règles en matière de protection des données personnelles, elle doit y répondre dans un délai fixé par la CNIL. Si la réponse de l’entreprise est satisfaisante et qu’elle répond aux exigences de la mise en demeure, un courrier de clôture de mise en demeure lui sera adressé et la procédure de contrôle sera également clôturée. Il y a fort à parier que la CNIL vous demandera de supprimer Google analytics et que le problème sera classé une fois fait.
Si vous ne le faites pas ou si cela ne satisfait pas la CNIL un courrier de demande de compléments peut vous être envoyé pour clarifier certains points. Si l’entreprise répond à cette demande de compléments dans le délai indiqué dans le courrier et que sa réponse correspond aux exigences de la mise en demeure, un courrier de clôture de mise en demeure lui sera adressé.
Si l’entreprise ne répond pas au courrier de la CNIL dans le délai imparti ou si sa réponse ne répond toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à son encontre. Si l’entreprise ne répond pas à la mise en demeure dans le délai fixé dans la décision prise par le Président de la CNIL, elle pourra également faire l’objet d’une procédure de sanction.
Quelles sont les sanctions pour non réponse ?
Un responsable de traitement des données personnelles peut être confronté à différents risques en cas de non-conformité aux règles en matière de protection des données personnelles. Ces risques peuvent inclure :
- Des sanctions administratives et financières imposées par les autorités de protection des données, telle que la Commission Nationale de l’Informatique et des Libertés (CNIL) en France. Ces sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global de l’entreprise pour les violations les plus graves.
- Des poursuites judiciaires engagées par les personnes concernées ou par des associations de défense des droits des personnes, qui peuvent entraîner des dommages et intérêts conséquents pour l’entreprise.
- Des pertes de confiance et de réputation pour l’entreprise, qui peuvent avoir des conséquences néfastes sur ses activités et sur sa relation avec ses clients et ses partenaires.
- Des difficultés pour l’entreprise à se conformer aux obligations en matière de protection des données personnelles, ce qui peut entraîner des retards et des coûts supplémentaires pour mettre en place les mesures nécessaires.
La nouvelle version de google analytics est-elle conforme au RGPD ?
Il n’existe pas de différence entre Google Analytics et Google Analytics G4. Google Analytics est un outil gratuit de suivi et d’analyse des données de trafic sur les sites web, développé et géré par Google. Google Analytics G4 est simplement la quatrième version de Google Analytics, qui a été lancée en octobre 2020. La nouvelle version inclut des améliorations et des fonctionnalités supplémentaires par rapport aux versions précédentes, notamment en matière de confidentialité et de protection des données personnelles des utilisateurs.
Pour respecter les lois RGPD, Google a adapté son outil de suivi de trafic web, Google Analytics, en créant une nouvelle version, GA4, qui protège mieux les données utilisateurs. Cependant, il y a encore des efforts à faire pour respecter pleinement les exigences du RGPD.
GA4 offre aux entreprises une grande variété de fonctionnalités pour contrôler comment leurs données sont utilisées. Par exemple, l’anonymisation des adresses IP est une fonctionnalité qui répond aux lois RGPD. Google a également donné plus de souplesse sur la durée de stockage des données, qui peut maintenant être de 2 à 24 mois, ce qui a été apprécié par la CNIL.
Si un utilisateur refuse les cookies, GA4 ne peut théoriquement collecter aucune donnée. Cependant, l’utilisation de l’apprentissage automatique par GA4 permet de compenser les pertes de données liées au refus des cookies, ce qui est une fonctionnalité considérée comme borderline par la CNIL.
La CNIL reconnaît les améliorations apportées par Google sur son nouvel outil, mais souligne que les données sont toujours hébergées dans des datacenters américains, ce qui est interdit par les lois européennes en matière de protection des données. Google a donc un an pour trouver une solution qui soit conforme au RGPD en Europe. En l’état actuel des choses, ni GA ni GA4 ne sont conformes au RGPD.
