De manière générale, la législation française[1] demande d’obtenir le consentement de l’internaute avant de lire les informations présentes dans son appareil (dont des cookies) ou d’écrire des informations dans son appareil. Il existe toutefois des exceptions à cette règle, notamment pour certains outils de mesure d’audience[2], mais Google Analytics ne bénéficie pas de cette exception, car les données collectées par Google Analytics sont également utilisées à des fins publicitaires.

Ces finalités publicitaires sont clairement présentées dans les « Règles de confidentialité et conditions d’utilisation » de Google :

« « Comment utilisons-nous les informations collectées via les sites ou applications qui font appel à nos services ?

De nombreux propriétaires de sites Web et d’applications font appel aux services Google pour améliorer leur contenu et maintenir leur gratuité. Lorsqu’ils intègrent nos services, ces sites et applications partagent des informations avec nous.

Par exemple, lorsque vous consultez un site Web qui utilise des services publicitaires tels qu’AdSense (y compris des outils d’analyse comme Google Analytics) ou intègre du contenu vidéo provenant de YouTube, votre navigateur Web nous transmet automatiquement certaines informations. Il s’agit, par exemple, de l’URL de la page que vous consultez et de votre adresse IP. Nous pouvons également déposer des cookies dans votre navigateur ou lire ceux qui sont déjà présents. Les applications qui utilisent nos services publicitaires partagent également des informations avec nous, telles que le nom de l’application et un identifiant publicitaire unique.

Les informations partagées par les sites et les applications nous permettent de fournir, gérer et améliorer nos services, d’en développer de nouveaux, d’évaluer l’efficacité de la publicité, de se prémunir contre les activités frauduleuses et les abus, et de personnaliser le contenu et les annonces qui apparaissent sur Google ainsi que sur les sites et applications de nos partenaires. »

L’obligation de consentement pour Google Analytics a également été indiquée par la CNIL, dans le rapport de sanction de la société CARREFOUR BANQUE :

« la formation restreinte [de la CNIL] souligne qu’il ne fait pas débat que les données collectées par les données collectées par [les cookies Google Analytics] peuvent être recoupées avec des données issues d’autres traitements pour poursuivre des finalités différentes que celles limitativement prévues par l’article 82 de la loi informatique et libertés, notamment pour mener à bien de la publicité personnalisée. »

Le consentement (éclairé) de l’internaute est donc obligatoire avant d’utiliser Google Analytics et le non-respect de cette obligation peut être sanctionné. Les sociétés CARRREFOUR[3] et CARRREFOUR BANQUE[4] ont, par exemple, été sanctionnées pour avoir notamment utilisé Google Analytics sur leur site sans obtenir le consentement préalable des visiteurs.

Google Analytics et les transferts illégaux de données vers les États-Unis

Avec ou sans le consentement de l’internaute, l’utilisation de Google Analytics devrait être toutefois proscrite, car des transferts de données vers les États-Unis sont réalisés par l’outil.

De tels transferts étaient considérés illégaux, en raison des pratiques de surveillance de masse des États-Unis qui ne permettaient pas d’assurer une protection adéquate des données. La CNIL avait publié, à ce sujet, une mise en demeure publique[5] pour expliquer que de tels transferts étaient contraires au RGPD. Les autorités de protection des données d’Autriche[6], d’Italie[7], du Danemark[8] et de Finlande[9] ont fait de même.

Des sanctions ont également été prononcées contre des éditeurs ayant utilisé Google Analytics. L’autorité de Suède a, par exemple, sanctionné l’opérateur TEL2 d’une amende d’un million d’euros[10].

La légalité des transferts de données vers les États-Unis reste douteuse[11], à ce jour. Les éditeurs ne devraient donc pas utiliser Google Analytics et utiliser des outils alternatifs, plus respectueux de la vie privée des internautes.

Notes et références

  1. L’article 82 de la loi Informatique et Libertés demande d’obtenir le consentement avant de lire ou d’écrire des informations dans le terminal de l’internaute. Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  2. La lecture ou l’écriture d’informations à des fins de mesure d’audience ne nécessitent pas le consentement des internautes si certaines conditions sont respectées. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser des cookies de mesure d’audience ? ».
  3. La société CARREFOUR a été sanctionnée par la CNIL, notamment car le site « carrefour.fr » utilisait le module Google Analytics sans le consentement des utilisateurs (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir : « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  4. La société Carrefour Banque a été sanctionnée par la CNIL, notamment car le site « carrefour-banque.fr » utilisait le module Google Analytics sans le consentement des utilisateurs (source : CNIL, SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir : « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
  5. Voir : « Un éditeur mis en demeure pour avoir collecté des données personnelles avec le module Google Analytics ».
  6. La Commission autrichienne de protection des données a indiqué le 21 décembre 2021 que les traitements de données réalisés par Google Analytics étaient contraires aux RGPD (source : NOYB, en allemand).
  7. La Commission italienne de protection des données (GPDP) a publié un article sur son site Internet, le 23 juin 2022, pour indiquer qu’un site Web avait été réprimandé suite à l’utilisation de Google Analytics et pour sensibiliser les éditeurs de sites Web sur le caractère illégal des traitements réalisés par Google Analytics. Voir : « GOOGLE – L’utilisation de Google Analytics considérée illégale par l’autorité italienne de protection des données ».
  8. La Commission danoise de protection des données a indiqué, le 21 septembre 2022, que Google Analytics ne pouvait pas être utilisé, en l’état, en respectant les exigences du RGPD. Voir : « GOOGLE – L’utilisation de Google Analytics considérée illégale par l’autorité danoise de protection des données ».
  9. La Commission finlandaise de protection des données a averti deux municipalités, le 17 février 2023, sur les transferts de données réalisés notamment par Google Analytics. Voir : « GOOGLE – L’utilisation de Google Analytics et de Google Tag Manager considérée illégale par l’autorité finlandaise de protection des données ».
  10. Voir « TELE2 – Sanction de 1 M€ de l’autorité suédoise suite à l’utilisation de Google Analytics ».
  11. Concernant la problématique des transferts de données vers les États-Unis, voir : « Peut-on transférer des données à caractère personnel vers les États-Unis ? ».
Voir les sigles et acronymes
  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données