L'utilisation de Google Analytics a été déclarée illégale en France depuis le 10 février 2022, mais le web tricolore semble s'en ficher royalement. C'est le constat établi par le développeur David Libeau, qui s'est penché sur les pratiques des médias en ligne depuis cette fameuse interdiction. Son verdict est sans appel : malgré les déclarations très claires de la Cnil, aucun des principaux médias français n'a changé ses habitudes. Alors, le passionné d'informatique a décidé de leur forcer la main. Il a déposé jeudi 23 juin au soir une rafale de plaintes auprès de la Commission nationale informatique et libertés (Cnil), le gendarme français des données personnelles. 42 plaintes précisément, une pour chacun des médias visés.
- Lire aussi : Vers un bannissement de Google Analytics en Europe ?
Une mise en demeure les forcerait à se séparer de Google Analytics
La liste aurait pu être beaucoup plus longue : le classement de mai 2022 de l'Alliance pour les chiffres de la presse et des médias (ACPM) liste 257 sites. Mais l'utilisation de Google Analytics dans les médias est tellement répandue que le développeur a préféré attaquer symboliquement les 42 plus gros qui utilisent l'outil. Ce choix de s'arrêter à 42 ne doit probablement rien au hasard : dans la culture geek, le nombre 42 est une référence au livre culte de Douglas Adams « Le guide du voyageur galactique », dans lequel un ordinateur répond inlassablement que la réponse à « la grande question sur la vie, l'univers et le reste » est « 42 ». C'est aussi pour cette raison que Xavier Niel a nommé son projet de formation « Ecole 42 »...
Quoi qu'il en soit, le résultat est « désastreux » écrit le développeur sur son billet de blog. « D'après une analyse d'une cinquantaine de sites de médias français, presque l'intégralité d'entre eux embarquent toujours Google Analytics », poursuit-il. D'après le développeur, les mauvais élèves sont partout : "dans les médias dit progressistes comme dans les conservateurs, dans les médias locaux comme nationaux ». Pire : un seul média dans les 50 observés par l'expert informatique n'exfiltre pas de données personnelles avec Google Analytics ou un outil similaire et tout aussi problématique. Il s'agit du site spécialisé Next INPact.
La Cnil a confirmé à La Tribune avoir reçu ces 42 plaintes et précise que celles-ci font actuellement l'objet d'une instruction pour déterminer leur recevabilité. Dans le cas où elles seraient jugées pertinentes, la Cnil dispose de plusieurs options. Elle peut prononcer un rappel à l'ordre, enjoindre de mettre le traitement en conformité y compris sous astreinte, limiter temporairement ou définitivement le traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d'exercice des droits des personnes y compris sous astreinte, ou encore prononcer une amende administrative jusqu'à 20 millions d'euros dans le cas d'une entreprise ou jusqu'à 4% de son chiffre d'affaires annuel mondial. Le plus probable est toutefois la mise en demeure, publique ou non, des médias visés, qui auront alors un mois pour se mettre en conformité, c'est-à-dire basculer de Google Analytics à un autre service d'analyse du trafic.
- Lire aussi : Guerre en Ukraine : l'UE a-t-elle troqué sa souveraineté numérique contre du gaz américain ?
Un symbole de la bataille juridique entre l'UE et les Etats-Unis
La Cnil est très claire : dans la foire aux questions (FAQ) de la page de son site Internet consacrée à Google Analytics, l'organisation répond à la question « Est-il possible de paramétrer l'outil Google Analytics de façon à ne pas transférer de données personnelles hors de l'Union européenne ? » par un cinglant « Non ». Plus loin, les experts juridiques de l'autorité indépendante précisent également qu'il n'est pas possible de rendre Google Analytics compatible avec la loi européenne même avec d'autres stratagèmes comme le chiffrement.
Le problème de Google Analytics, comme beaucoup d'autres outils américains, est que le service doit transférer les données des utilisateurs européens aux Etats-Unis pour fonctionner de manière optimale. Or, les lois extraterritoriales américaines, notamment le Cloud Act mais aussi la loi FISA (Foreign Intelligence Surveillance Act) sont incompatibles avec le Règlement européen sur les protections des données personnelles (RGPD). La raison : les lois extraterritoriales sont « supranationales », donc « supérieures » au RGPD européen. En clair, dans le cadre de traitements par leurs agences de renseignement, les Américains ne se considèrent pas soumis aux obligations du RGPD en ce qui concerne l'information des utilisateurs sur la collecte de leurs données personnelles et leur exploitation.
Par conséquent, il y a un blocage juridique, matérialisé par les arrêts dit « Schrems » et « Schrems II » prononcés par la Cour européenne de justice (CJUE). Ces décisions de justice ont annulé, en 2015 puis en 2020, l'accord existant entre l'UE et les Etats-Unis sur les transferts de données transatlantiques (le Safe Harbor en 2015, le Privacy Shield en 2020), générant un véritable chaos juridique pour les entreprises, comblé jusqu'à présent, de manière insatisfaisante, par des clauses contractuelles types et des garanties supplémentaires. Un nouvel accord de principe a été annoncé récemment, mais ses modalités n'ont toujours pas été précisées. Et de toutes façons, de nombreux juristes estiment qu'il débouchera fatalement sur un « Schrems 3 » si rien ne change dans le fond, c'est-à-dire si l'UE ne revient pas sur le RGPD ou si les Etats-Unis ne reculent pas sur leurs lois extraterritoriales. Ce qui ne semble pas à l'ordre du jour.
Google Analytics est l'un des symboles de cette bataille juridique. Dans sa mise en demeure du 10 février dernier suite à la plainte déposée par l'association NOYB (None of your business ou "ce ne sont pas vos affaires », Ndlr) de l'activiste autrichien Max Schrems, la Cnil avait estimé que les données des Français sont transférées aux Etats-Unis « en violation des articles 44 et suivants du RGPD ». Autrement dit, la Cnil a estimé que les conditions de transfert aux Etats-Unis des données collectées par cet outil statistique, faute d'encadrement, peuvent exposer les utilisateurs français à des programmes de surveillance américains.
Google Analytics collecte effectivement des données sensibles :
« En utilisant Google Analytics, les médias fournissent à Google l'historique complet de nos lectures. Ces données valent de l'or pour les entreprises du numérique qui pratiquent le ciblage publicitaire à grande échelle. Elles peuvent révéler nos goûts, nos habitus et même nos opinions politiques. Si je lis des articles sur l'immigration ou bien sur l'agriculture bio, Google peut aisément nous profiler », explique David Libeau.
Quelles alternatives pour les sites web ?
Face au désarroi des entreprises, prises en tenailles depuis 2020 par l'arrêt du Privacy Shield, la Cnil a publié sur son site Internet une liste d'alternatives respectueuses des données personnelles.
La gestion d'un site web ou d'une application mobile requérant généralement l'utilisation de statistiques de fréquentation ou de performance qui sont souvent indispensables à la fourniture du service, la Cnil explique tout d'abord que les cookies déposés à cette fin « peuvent être exemptés de consentement sous certaines conditions ». Mais les transferts de données hors de l'Union européenne, un prérequis pour Google Analytics, n'entrent pas dans ce cas de figure.
La Cnil liste ensuite une série de solutions qui, à date de son examen, peuvent être utilisées à la place de Google Analytics et ne nécessitent pas un recueil de consentement de l'utilisateur. Parmi elles figurent dans la liste établie le 30 mars 2021 la solution Analytics Suite Delta de AT Internet, SmartProfile de Net Solution Partner, Wysistat Business de Wysistat, Piwik PRO Analytics Suite de Piwik PRO, ou encore Abla Analytics de Astra Porta. 18 solutions au total ont été validées par la Cnil.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés