Mesure d’audience et RGPD, la CNIl se prononce : Les hébergeurs de sites web utilisant des outils de mesure d’audience peuvent involontairement transférer des données personnelles vers des entités ou pays non conformes aux normes du RGPD. Une solution pratique pour éviter ces transferts est l’utilisation d’un proxy correctement configuré, une pratique reconnue pour renforcer la protection des données personnelles.
Ces outils, soumis au RGPD et à la directive ePrivacy, transfèrent souvent des données hors de l’EEE vers des pays offrant une protection insuffisante. Depuis le 10 juillet 2023, grâce à l’accord UE-USA sur la protection des données (« Data Privacy Framework »), les transferts vers des entités américaines certifiées sont facilités. Pour les entités non certifiées, la proxyfication reste essentielle.
Modifier simplement le traitement des adresses IP ou chiffrer les identifiants générés par les outils ne suffit pas pour préserver la vie privée, car les serveurs peuvent toujours obtenir des informations pouvant mener à la réidentification des utilisateurs. La solution optimale est d’empêcher tout contact direct entre le terminal de l’utilisateur et les serveurs de traitement des données.
Un serveur proxy peut être utilisé pour éviter ce contact, mais il doit respecter certains critères pour être conforme aux recommandations du CEPD du 18 juin 2021. Ces critères comprennent la pseudonymisation des données avant leur exportation, s’assurant qu’aucune réidentification n’est possible même par des autorités disposant de moyens conséquents.
L’implémentation de ces mesures peut être coûteuse et complexe, ne répondant pas toujours aux besoins opérationnels. Une alternative est d’utiliser une solution ne réalisant pas de transferts de données hors de l’UE.
Pour une proxyfication efficace, le serveur doit limiter les données transférées, incluant l’absence de transfert de l’adresse IP, le remplacement de l’identifiant utilisateur, la suppression d’informations susceptibles de mener à une réidentification, et garantir que les données traitées ne seront pas transférées hors de l’UE.