L’utilisation de Google Analytics est illégale, avec ou sans le consentement des visiteurs.

De façon générale, le consentement de l’internaute doit être obtenu avant de déposer des cookies sur son appareil ou de lire les cookies présents dans son appareil. Il existe, certes, des exceptions[1] à cette règle pour certains outils de mesure d’audience. Google Analytics ne fait toutefois pas partie de ces exceptions, car les données collectées grâce au Google Analytics ne sont pas utilisées uniquement pour étudier l’audience du site, mais sont aussi utilisées, en complément d’autres données collectées par Google, pour profiler les visiteurs et leur proposer des publicités ciblées.

« la [CNIL] souligne qu’il ne fait pas débat que les données collectées par [Google Analytics] peuvent être recoupées avec des données issues d’autres traitements pour poursuivre des finalités différentes que celles limitativement prévues par l’article 82 de la loi informatique et libertés, notamment pour mener à bien de la publicité personnalisée. »

Le vrai problème ne réside cependant pas dans l’obtention d’un consentement, mais dans la conformité de Google Analytics avec le RGPD, car même avec le consentement de la personne, les exigences du RGPD s’appliquent.

Une de ces exigences est de garantir une protection équivalente au RGPD lorsque les données sont exportées dans un pays non membre de l’Union européenne. Cette exigence n’est pas respectée dans le cas de Google Analytics, car les États-Unis, pays dans lequel les serveurs sont situés, n’assurent pas une protection adéquate en raison de la surveillance de masse réalisée par les services de renseignement américains[2].

Avec ou sans le consentement des utilisateurs, l’utilisation de Google Analytics est donc illégale.

« Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux »

Par le passé, l’utilisation de Google Analytics sans le consentement des visiteurs était sanctionné. La CNIL a, par exemple, déjà sanctionné les magasins Carrefour[3] ou la société Carrefour Banque[4]. À présent, même avec le consentement des visiteurs, des organismes peuvent être sanctionnés.

Google Analytics considéré illégal dans plusieurs pays de l’U.E.

La France n’est pas le seul pays dans lequel la Commission sur la protection des données s’est exprimée publiquement sur le caractère illégal des transferts de données réalisés par Google Analytics. L’Autriche[5], l’Italie[6], le Danemark[7] et la Finlande[8] ont également fait de même.

Notes et références

  1. Certains cookies utilisés pour mesurer l’audience d’un site ne nécessitent pas le consentement des internautes. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser des cookies de mesure d’audience ? ».
  2. Les données à caractère personnel ne peuvent pas être transférées vers les États-Unis, car le pays ne garantit pas un niveau de protection équivalent au RGPD. Voir : « Peut-on transférer des données à caractère personnel vers les États-Unis ? ».
  3. La société Carrefour France a été sanctionnée par la CNIL, car le site « carrefour.fr » utilisait le module Google Analytics sans le consentement des utilisateurs (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir : « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  4. La société Carrefour Banque a été sanctionnée par la CNIL, car le site « carrefour-banque.fr » utilisait le module Google Analytics sans le consentement des utilisateurs (source : CNIL, SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir : « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
  5. La Commission autrichienne de protection des données a indiqué le 21 décembre 2021 que les traitements de données réalisés par Google Analytics étaient contraires aux RGPD (source : NOYB, en allemand).
  6. La Commission italienne de protection des données (GPDP) a publié sur son site Internet le 23 juin 2022 un article pour indiquer qu’un site Web avait été réprimandé suite à l’utilisation de Google Analytics et pour sensibiliser les éditeurs de sites Web sur le caractère illégal des traitements réalisés par Google Analytics. Voir : « GOOGLE – L’utilisation de Google Analytics considérée illégale par l’autorité italienne de protection des données ».
  7. La Commission danoise de protection des données a indiqué le 21 septembre 2022 que Google Analytics ne pouvait pas être utilisé, en l’état, en respectant les exigences du RGPD. Voir : « GOOGLE – L’utilisation de Google Analytics considérée illégale par l’autorité danoise de protection des données ».
  8. La Commission finlandaise de protection des données a averti deux municipalités, le 17 février 2023, sur les transferts de données réalisés notamment par Google Analytics. Voir : « GOOGLE – L’utilisation de Google Analytics et de Google Tag Manager considérée illégale par l’autorité finlandaise de protection des données ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données