Vous l’avez peut-être vu passer: la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié sur son site officiel des informations complémentaires pour être conforme au RGPD - et cela passe par une méthode de proxyfication.
Dans ce contexte, qu’est-ce que la proxyfication et comment allez-vous pouvoir continuer à tracker et mesurer l’audience de votre site sans risquer de pénalités ?
Pourquoi Google Analytics est jugé non conforme au RGPD
Cela fait 2 ans que la Cour de justice de l’UE a invalidé le Privacy Shield (arrêt du 16 juillet 2020), le dispositif qui permettait d’encadrer les transferts de données personnelles entre l’Europe et les Etats-Unis, estimant que le risque d’accès à ces dernières par les autorités américaines ne respectait pas le droit des ressortissants européens.
Vous connaissez la suite et notamment les événements plus récents : le dépôt de plaintes multiples dans différents Etats-Membres par l’association NOYB a entre autres conduit la CNIL à remettre en cause l’utilisation de Google Analytics par différentes entreprises françaises.
Pour ne citer que quelques exemples, Sephora et Auchan ont fait l’objet de mises en demeure. Dans les faits, n’importe quel site Web français peut faire l’objet d’un contrôle et écoper d’une pénalité s’il ne met pas rapidement en conformité ses données GA.
Les 2 soucis majeurs qui ressortent à l’heure actuelle avec GA aux yeux de la CNIL sont donc les suivants :
- La non-anonymisation intégrale des données collectées par l’outil de mesure d’audience. Bien qu’une fonctionnalité d’anonymisation des adresses IP soit bien proposée par Google, elle ne couvre pas l’intégralité des transferts et rien ne garantit qu’elle soit effectuée avant l’envoi de la data vers les Etats-Unis… ce qui laisse potentiellement le champ libre aux autorités américaines pour un accès sans protection de la vie privée.
- Le fait que les données collectées soit hébergées sur les serveurs de sociétés dont le siège est installé aux Etats-Unis. Google s’est d’abord défendu en avançant que la situation était théorique, mais dans les faits, les renseignements américains peuvent obtenir facilement un accès aux données d’une entreprise dont le siège social est sur le territoire.
Le problème est donc double : l’anonymisation n’est pas systématiquement mise en œuvre puisqu’optionnelle ET elle risque d’avoir lieu après le transfert, donc les autorités peuvent avoir accès aux données d’IP en clair (notamment si la requête est initiée depuis le terminal de l’utilisateur; elle n’est dans ce cas pas qu’un critère d’identification, mais aussi de localisation)
Note importante : cela signifie que bien que le focus soit mis sur Google Analytics, tout outil de mesure statistique américain aujourd’hui est concerné par les mêmes questions !
La proposition de la CNIL : une méthode complexe de proxyfication
Premier constat de l’autorité française : “une simple modification du paramétrage est insuffisante".
Et de détailler :
“Une autre idée souvent avancée est celle du recours au « chiffrement » de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site (...) Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.
Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données.”
Voilà, c’est posé et on ne peut plus clair.
Alors que faire ?
La CNIL préconise une solution pour éviter le contact direct entre le terminal de l’internaute et les serveurs de l’outil. En d’autres termes, elle conseille d’avoir recours à un proxy, donc un serveur mandataire.
Cette proxyfication doit servir d’étape indispensable de pseudonymisation des données avant leur transfert vers les serveurs de Google (ou autre outil de mesure d’audience dont le siège est aux US).
Pour ce faire et rendre l’ensemble de l’installation conforme, la proxyfication doit assurer qu’en aucun cas une personne ne pourra être de nouveau identifiée une fois les informations transmises.
© CNIL
Les critères précis pour une proxyfication conforme de votre installation
La CNIL présente plusieurs mesures qu’elle estime nécessaire pour que le processus soit conforme au RGPD :
- L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure.
- Le remplacement de l’identifiant utilisateur par le serveur de proxyfication
- La suppression de l’information de site référent (ou « referer ») externe au site ;
- La suppression de tout paramètre contenu dans les URL collectées (par exemple les UTM, mais aussi les paramètres d’URL permettant le routage interne du site) ;
- Le retraitement des informations pouvant participer à la génération d’une empreinte (ou fingerprint), tels que les « user-agents ».
- L’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe (CRM, id unique)
- la suppression de toute autre donnée pouvant mener à une réidentification.
Les conditions d’hébergement du proxy font également l’objet de recommandations.
Quelles alternatives si tout cela vous paraît trop complexe ?
Nous recommandons depuis plusieurs semaines de mettre en place dès maintenant un module complémentaire Matomo (basé en Europe), afin de pouvoir collecter de la donnée conforme dès maintenant et migrer complètement si le besoin s’en faisait sentir… et ce sans perte d’historique et avec un système similaire à votre installation actuelle Google Analytics (3 puis 4) !
Contactez-nous pour en parler, nos experts tracking & Analytics sont à votre disposition pour toute question et besoin d’accompagnement sur ce sujet.