Bonjour à tous, vous avez certainement déjà vu passer cette information: Google Analytics, qui permet de disposer de statistiques de fréquentation d’un site internet, n’est pas considéré conforme par les autorités et notament la CNIL. Explications et solution en quelques lignes.
La conformité RGPD directement en cause
Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférées par Google aux États-Unis.
La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitements qui transfèreraient des données personnelles vers les États-Unis.
La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.
La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.
Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.
La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure les gestionnaires de sites de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.
Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.
Matomo, l’alternative open source et conforme RGPD
Matomo est une puissante plateforme d’analyse Web axée sur la confidentialité qui vous donne la propriété à 100 % des données. Lancé pour la première fois en 2007, Matomo est aujourd’hui la première plate-forme d’analyse Web open source au monde et est utilisé par plus d’un million de sites Web. Les valeurs fondamentales de Matomo reposent sur la collecte et le traitement éthiques des données. De plus en plus d’entreprises et d’organisations du monde entier adoptent des solutions d’analyse Web conformes à la confidentialité des données comme Matomo.
Matomo peut être 100% compatible RGPD. En faisant le choix d’héberger ce logiciel dans l’espace européen, sans transfert vers les Etats Unis, et en activant l’anonymisation des données.
Fonctionnalités qui garantissent la conformité au RGPD :
- Anonymisation des données
- Outils de compatibilité RGPD inclus
- Les utilisateurs peuvent désactiver tout suivi
- Cookies First-Party par défaut
- Les visiteurs peuvent voir les données collectées
- Possibilités de supprimer les données des visiteurs sur demande
- Les données ne sont pas utilisées à d’autres fins (par rapport à Google Analytics)
- Anonymisation des adresses IP
- Le journal des visiteurs et les profils peuvent être désactivés
- Les données sont stockées dans l’UE (Matomo Cloud ou Matomo chez Datacampus)
Matomo a également été approuvé par la Commission française de protection des données (CNIL) comme l’un des rares outils d’analyse Web pouvant être utilisés pour collecter des données sans consentement de suivi.
Datacampus propose des serveurs managés Matomo
Que vous aillez un ou plusieurs sites internet, Datacampus propose des serveurs dédiés et 100% managés pour basculer sur Matomo. Vous pouvez ainsi suivre vos statistiques de fréquentations tout en respectant la loi et vos visiteurs! Nous nous chargeons d’installer Matomo sur votre VPS puis nous gérons toutes les mises à jours serveur, la surveillance pro-active et la sauvegarde des données sur 30 jours glissants : vous pouvez donc directement intégrer les codes de tracking que vous générerez dans vos sites, sans avoir à vous préoccuper de la plateforme technique.
Votre outil est ainsi hébergé en France, au sein de nos datacenters respectueux de l’environnement avec notamment :
– Nos propres Infrastructures physiques, sans intermédiaires ni sous-traitance sur la Technopole du Futuroscope, ni transfert vers l’étranger.
– Votre serveur Matomo est refroidi dans nos bains à immersion : suppression de la climatisation, soit -30% de consommation électrique. Le PUE de cette zone est < 1,03 !
– La certification que 100% de notre électricité est directement produite par de l’hydro-electrique français
– Une équipe d’experts accessibles et réactive pour vous accompagner.
Je suis convaincu, je veux passer sur Matomo !
Et vous avez raison 🙂 Pour vous faire accompagner signalez votre intérêt auprès de notre équipe d’experts par email sur sales@datacampus.fr ou sur notre site internet : https://datacampus.fr
Un membre de l’équipe prendra contact avec vous pour étudier votre projet, répondre à vos questions et dimensionner ensemble la bonne solution pour avoir un tracking efficace sur vos sites tout en étant conforme à la législation.
Merci et à bientôt pour d’autres articles 🙂
/pierre