Quatre années se sont écoulées depuis l’entrée en vigueur du règlement général européen sur la protection des données (RGPD, également connu sous le nom de DSGVO en allemand et RGPD en français).
C’est beaucoup de temps pour se mettre en conformité, surtout pour une organisation aussi grande et innovante que Google. Ou bien est-ce le cas ?
Si vous vous demandez comment le RGPD affecte Google Analytics 4 et quel est l’état actuel de la conformité, voici ce qu’il en est.
Google Analytics 4 est-il conforme au RGPD ?
Non. À partir de la mi-2022, Google Analytics 4 (GA4) ne sera pas entièrement conforme au RGPD. Malgré l’ajout de fonctionnalités supplémentaires axées sur la protection de la vie privée, GA4 a toujours un statut obscur auprès des régulateurs européens. Après l’invalidation du cadre du Privacy Shield en 2020, Google doit encore réglementer la protection des données entre l’UE et les États-Unis. À l’heure actuelle, l’entreprise ne protège pas suffisamment les données des citoyens et des résidents de l’UE contre les lois de surveillance américaines. Il s’agit d’une violation directe du RGPD.
Google Analytics et RGPD : une relation complexe
Les régulateurs européens ont passé Google au crible depuis l’entrée en vigueur du RGPD en 2018.
Bien que l’entreprise ait pris des mesures pour se préparer aux dispositions du RGPD, elle ne s’est pas entièrement conformée à des réglementations importantes concernant le stockage, le transfert et la sécurité des données des utilisateurs.
Les relations entre Google et les régulateurs européens se sont envenimées après que la Cour de justice de l’Union européenne (CJUE) a invalidé le bouclier de protection de la vie privée (Privacy Shield), une marge de manœuvre utilisée par Google pour les transferts de données entre l’UE et les États-Unis. Après 2020, les litiges relatifs au RGPD contre Google ont suivi.
Ce billet résume les principales étapes de cette histoire et explique les conséquences pour les utilisateurs de Google Analytics.
Source : [GA4] EU-focused data and privacy.
2018 : Google Analytics à la rencontre du RGPD
En 2018, l’UE a adopté le règlement général sur la protection des données (RGPD) – un ensemble de lois sur la confidentialité et la sécurité des données, couvrant tous les États membres. Chaque entreprise interagissant avec des citoyens et/ou des résidents de l’UE devait s’y conformer.
Le RGPD a harmonisé les lois sur la protection des données dans tous les États membres et a introduit des dispositions supplémentaires concernant les informations personnelles sensibles (ou PII). D’une manière générale, les IPI comprennent toutes les données relatives à la personne :
- Origine raciale ou ethnique
- Statut de l’emploi
- Croyances religieuses ou politiques
- État de santé
- Données génétiques ou biométriques
- les dossiers financiers (tels que les données relatives aux méthodes de paiement)
- -Adresse et numéros de téléphone
Il a été interdit aux entreprises de collecter ces informations sans consentement explicite. Si elles sont collectées, ces informations sensibles sont également soumises à des exigences strictes quant à la manière dont elles doivent être stockées, sécurisées, transférées et utilisées.
7 grands principes du RGPD expliqués
L’article 5 du RGPD énonce sept grands principes de protection des données personnelles et de la vie privée :
- Légalité , équité et transparence – les données doivent être obtenues légalement, collectées avec le consentement des intéressés et dans le respect des lois.
- Limitation des finalités – toutes les informations personnelles doivent être collectées à des fins précises, explicites et légales.
- La minimisation des données : les entreprises ne doivent collecter que les données nécessaires et adéquates, en fonction de la finalité déclarée.
- Exactitude – l’exactitude des données doit être garantie à tout moment. Les entreprises doivent disposer de mécanismes permettant d’effacer ou de corriger sans délai les données inexactes.
- Limitation du stockage : les données ne doivent être stockées que pendant la durée prévue par la finalité déclarée. Il n’y a cependant pas de limite de temps supérieure pour le stockage des données.
- Intégrité et confidentialité (sécurité) : les entreprises doivent prendre des mesures pour garantir la sécurité du stockage des données et empêcher tout accès illégal ou non autorisé à celles-ci.
- Responsabilité : les entreprises doivent être en mesure de démontrer qu’elles respectent les principes susmentionnés.
Google a affirmé avoir pris des mesures pour rendre tous ses produits conformes au RGPD avant la date limite. Mais dans la pratique, cela n’a pas toujours été le cas.
Le formulaire de consentement RGPD proposé pour Google Analytics était difficile à mettre en œuvre et manquait d’options de personnalisation. En fait, Google « prend des décisions unilatérales » sur la manière dont les données collectées sont stockées et utilisées.
Les utilisateurs n’avaient aucun moyen de connaître ou de contrôler toutes les utilisations prévues des données des personnes, ce qui rendait impossible le respect de la deuxième clause.
Sans surprise, Google a été l’une des premières entreprises à faire l’objet d’une action en justice au titre du RGPD (avec Facebook).
En 2019, la CNIL, l’autorité française de régulation des données, a fait valoir avec succès que Google ne divulguait pas suffisamment sa collecte de données pour l’ensemble de ses produits et qu’il était donc en infraction avec le RGPD. Après un appel infructueux, Google a dû payer une amende de 50 millions d’euros et promettre de faire mieux.
2019 : Annonce de Google Analytics 4
Tout au long de l’année 2019, Google a légitimement tenté de résoudre certaines de ses lacunes en matière de RGPD dans l’ensemble de ses produits, Google Universal Analytics (UA) inclus.
Ils ont ajouté un mécanisme de consentement plus visible pour le suivi en ligne et fourni des conseils de conformité supplémentaires aux utilisateurs. En arrière-plan, Google a également apporté des modifications techniques à son mécanisme de traitement des données afin de se placer du bon côté de la réglementation.
Bien que Google ait résolu certains problèmes, il en a oublié d’autres. Une enquête indépendante menée en 2019 a révélé que les enchères publicitaires en temps réel (RTB) de Google utilisaient toujours les données des citoyens et résidents de l’UE sans leur consentement, grâce à une faille appelée « Push Pages ». La société a toutefois réussi à régler rapidement ce problème avant que les allégations ne soient portées devant les tribunaux.
En novembre 2019, Google a publié une version bêta de la nouvelle version du produit – Google Analytics 4, censée remplacer Universal Analytics.
GA4 a été doté d’un ensemble de nouvelles fonctionnalités axées sur la protection de la vie privée pour cocher les cases du RGPD, telles que :
- Mécanisme de suppression des données. Les utilisateurs peuvent désormais demander l’extraction chirurgicale de certaines données des serveurs d’Analytics via une nouvelle interface.
- -Réduction de la période de conservation des données. Vous pouvez désormais raccourcir la période de conservation par défaut à 2 mois (au lieu de 14 mois) ou ajouter une limite personnalisée.
- Anonymisation de l’IP. Par défaut, GA4 n’enregistre ni ne stocke les adresses IP.
Google Analytics a également mis à jour ses conditions de traitement des données et apporté des modifications à sa politique de confidentialité.
Bien que Google ait fait quelques progrès, Google Analytics 4 présente encore de nombreuses limitations et n’est pas conforme au RGPD.
2020 : Décision d’invalidation du bouclier de protection de la vie privée
Dans le cadre des préparatifs du RGPD 2018, Google a désigné son entité irlandaise (Google Ireland Limited) comme le « contrôleur de données » légalement responsable des informations des utilisateurs de l’EEE et de la Suisse.
Au départ, Google pensait que ce changement juridique l’aiderait à se conformer au RGPD puisque, « juridiquement parlant », une entité européenne était chargée des données européennes.
Dans la pratique, cependant, les données des consommateurs de l’EEE étaient encore principalement transférées et traitées aux États-Unis, où se trouvent la plupart des centres de données de Google. Jusqu’en 2020, ces transferts de données transfrontaliers étaient considérés comme légaux grâce au bouclier de protection des données (Privacy Shield).
Mais en juillet 2020, la Cour de justice de l’Union européenne a jugé que ce cadre n’assurait pas une protection adéquate des données transmises numériquement contre les lois de surveillance américaines. Par conséquent, des entreprises comme Google ne peuvent plus l’utiliser. Le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT) est parvenu à la même conclusion en septembre 2020.
L’invalidation du cadre du bouclier de protection de la vie privée a mis Google dans une position délicate.
L’article 14. f du RGPD stipule explicitement :
« Le responsable du traitement (l’entreprise) qui entend effectuer un transfert de données à caractère personnel vers un destinataire (Analytics solution) dans un pays tiers ou une organisation internationale doit fournir à ses utilisateurs des informations sur le lieu de traitement et de stockage de ses données ».
L’invalidation du cadre du bouclier de protection de la vie privée a interdit à Google de transférer des données aux États-Unis. Dans le même temps, les dispositions du RGPD imposent à l’entreprise de divulguer l’emplacement exact des données.
Mais Google Analytics (comme beaucoup d’autres produits) n’avait pas de mécanisme pour le faire :
- Garantir le stockage des données au sein de l’UE
- Sélection d’ un lieu de stockage régional désigné
- informer les utilisateurs du lieu de stockage des données ou des transferts de données en dehors de l’UE
Ces facteurs ont fait de Google Analytics une violation directe du RGPD – un territoire où il restera en 2022.
2020-2022 : infractions au RGPD et amendes de Google
La décision de 2020 a permis à Google de s’exposer à des poursuites liées au RGPD de la part d’autorités de régulation des données propres à chaque pays.
Google Analytics, en particulier, a fait l’objet d’un important cessez-le-feu.
La Suède a pour la première fois infligée une amende à Google pour violation du RGPD en raison du non-respect de ses obligations de demander le déréférencement des données en 2020.
La France a rejeté la fonction d’anonymisation de l’adresse IP de Google Analytics 4 comme étant une mesure suffisante pour protéger les transferts transfrontaliers de données. Même avec cette fonction, les services de renseignement américains peuvent toujours accéder aux adresses IP des utilisateurs et à d’autres informations confidentielles. La France a déclaré Google Analytics illégal et a imposé une amende de 150 millions d’euros.
L’Autriche a également estimé que Google Analytics n’était pas conforme au RGPD et a qualifié le service d' »illégal ». L’autorité demande également une amende.
L’autorité néerlandaise de protection des données et l’autorité norvégienne de protection des données ont également déclaré Google Analytics coupable d’une violation du RGPD et cherchent à limiter l’utilisation de Google Analytics.
Les nouveaux contrôles de confidentialité de Google Analytics 4 ne résolvent pas le problème sous-jacent, à savoir le transfert de données non réglementé et non consensuel entre l’UE et les États-Unis.
2022 : Bouclier de protection de la vie privée 2.0. Négociations
Google n’est pas la seule entreprise américaine touchée par l’invalidation du cadre du Privacy Shield. Des milliers d’entreprises du secteur numérique risquent en effet de ne pas se conformer à cette décision.
Pour régler la question, les autorités américaines et européennes ont entamé des « pourparlers de paix » au printemps 2022.
La présidente de la Commission européenne, Ursula von der Leyen, a déclaré qu’elle travaillait avec l’administration Biden sur le nouvel accord qui « permettra des flux de données prévisibles et fiables entre l’UE et les États-Unis, tout en sauvegardant la vie privée et les libertés civiles ».
D’une part, les États-Unis ne sont pas très enclins à modifier leurs lois sur la surveillance et sont plutôt disposés à les rendre « proportionnelles » à celles en vigueur dans l’UE. Ces modifications pourraient ne pas satisfaire la CJUE, qui a le pouvoir de bloquer l’approbation de l’accord ou de l’invalider à nouveau.
Pendant que ces questions sont réglées, les utilisateurs de Google Analytics, qui collectent des données sur les citoyens et/ou résidents de l’UE, restent sur un terrain glissant. Tant qu’ils utilisent GA4, ils peuvent faire l’objet de poursuites liées au RGPD.
Conclusion – Google Analytics 4 et RGPD
Google Analytics 4 et Google Universal Analytics ne sont pas conformes au RGPD en raison de l’invalidation du Privacy Shield en 2020. Les organismes français et autrichiens de surveillance des données ont qualifié les opérations de Google Analytics d’illégales. Les autorités suédoises, néerlandaises et norvégiennes affirment également qu’il s’agit d’une violation du RGPD.
Tout site web utilisant GA pour collecter des données sur les citoyens et/ou résidents européens peut être poursuivi en justice pour violation du RGPD.
Bouclier de protection de la vie privée 2.0 Les discussions sur le cadre visant à réglementer les transferts de données entre l’UE et les États-Unis n’en sont qu’à leur début et pourraient durer des années. Même s’il est accepté, le(s) nouveau(x) cadre(s) pourrai(en)t être invalidé(s) par les autorités locales de régulation des données, comme cela s’est déjà produit par le passé.
