Avec ou sans le consentement des visiteurs, l’utilisation de Google Analytics est illégale.

De façon générale, le consentement de l’internaute doit être obtenu avant de déposer des cookies sur son appareil ou de lire les cookies présents dans son appareil. Il existe, certes, des exceptions[1] à cette règle pour certains outils de mesure d’audience, mais Google Analytics ne fait pas partie de ces exceptions, car les données collectées grâce au Google Analytics ne sont pas utilisées uniquement pour étudier l’audience du site, mais sont aussi utilisées, en complément d’autres données collectées par Google, pour profiler les visiteurs et leur proposer des publicités ciblées.

« la [CNIL] souligne qu’il ne fait pas débat que les données collectées par [Google Analytics] peuvent être recoupées avec des données issues d’autres traitements pour poursuivre des finalités différentes que celles limitativement prévues par l’article 82 de la loi informatique et libertés, notamment pour mener à bien de la publicité personnalisée. »

Le vrai problème ne réside cependant pas dans l’obtention d’un consentement mais dans la conformité de Google Analytics avec le RGPD[2], car, même avec le consentement de la personne, les exigences du RGPD s’appliquent.

Une de ces exigences est de garantir une protection similaire au RGPD lorsque les données sont exportées dans un pays non membre de l’Union. Cette exigence n’est pas respectée dans le cas de Google Analytics, car les États-Unis, pays dans lequel les serveurs sont situés, n’assurent pas une protection adéquate en raison de la surveillance de masse réalisée par les services de renseignement américains[3].

Avec ou sans le consentement des utilisateurs, l’utilisation de Google Analytics est donc illégale.

« Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux »

Par le passé, l’utilisation de Google Analytics sans le consentement des visiteurs était sanctionné. La CNIL[4] a, par exemple, déjà sanctionné les magasins Carrefour[5] ou la société Carrefour Banque[6]. À présent, même avec le consentement des visiteurs, des organismes peuvent être sanctionnés.

Notes et références

  1. Certains cookies utilisés pour mesurer l’audience d’un site ne nécessitent pas le consentement des internautes. Voir « Doit-on obtenir le consentement des visiteurs pour utiliser des cookies de mesure d’audience ? ».
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Les données à caractère personnel ne peuvent pas être transférées vers les États-Unis, car le pays ne garantit pas un niveau de protection équivalent au RGPD. Voir « Peut-on transférer des données à caractère personnel vers les États-Unis ? ».
  4. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  5. La société Carrefour France a été sanctionnée par la CNIL, car le site « carrefour.fr » utilisait le module Google Analytics sans le consentement des utilisateurs (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  6. La société Carrefour Banque a été sanctionnée par la CNIL, car le site « carrefour-banque.fr » utilisait le module Google Analytics sans le consentement des utilisateurs (source : CNIL, SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir « CARREFOUR BANQUE sanctionnée pour avoir traité partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».