Google respecte-t-il le RGPD ?
Pour commencer, la réponse à la question initiale est : oui, Google Analytics et la protection des données RGPD sont compatibles si le consentement éclairé des utilisateurs est obtenu. Cet article explique en détail comment cela se passe.
Un peu d'histoire
L'époque où Google Analytics pouvait fonctionner silencieusement en arrière-plan d'un site web est définitivement révolue. À l'époque, il suffisait d'une mention dans la déclaration de protection des données et, comme base juridique, l'intérêt légitime de l'exploitant du site web pour les statistiques relatives au fonctionnement de Google Analytics et à la protection des données.
Avec le développement de Google Analytics en tant qu'instrument de marketing, avec l'abrogation par la Cour de justice européenne du Privacy Shield en tant que base pour le transfert de données avec des entreprises américaines et avec la prise de conscience accrue de nombreux internautes en matière de protection de la vie privée, la situation a fondamentalement changé.
Cela peut aussi s'expliquer par le fait que les annonceurs ont exagéré. Il y a quelques instants, on s'envoyait des e-mails avec une connaissance en vacances aux Pays-Bas et peu après, en surfant, on voit apparaître des publicités pour des maisons de vacances néerlandaises, ce qui laisse songeur. Les organes de l'administration judiciaire et les autorités de surveillance de la protection des données ont tenu compte de cette situation et ont mis en place le RGPD ainsi que la directive européenne RL 2002/58/CE, qui n'a pas été respectée en partie en Allemagne, dans sa transposition par la loi sur la protection des données dans le domaine des télécommunications et des télémédias (TTDSG).
Il en résulte que l'utilisation de Google Analytics et la protection des données ne sont possibles qu'avec un consentement libre et éclairé. A quoi les utilisateurs consentent-ils et comment ce consentement doit-il se présenter ?
Les facettes du consentement
1. le consentement à l'installation de cookies
Le consentement pour les cookies ne concerne pas en premier lieu la protection des données, mais l'intégrité des terminaux. § L'article 25 de la TTDSG stipule que les données ne peuvent être écrites dans la mémoire d'un PC, d'un ordinateur portable, d'une tablette ou d'un smartphone ou être lues à partir de ces appareils qu'avec le consentement de l'utilisateur. Nous nous opposons également à ce qu'une personne entre dans notre appartement sans notre consentement et écrive sur notre tableau d'affichage ou lise les notes sur le réfrigérateur.
2. le consentement au traçage de l'utilisateur
Lors du suivi des utilisateurs, les mouvements sur le site web sont enregistrés, les produits dans le panier, les achats et les pages sur lesquelles on a navigué auparavant sont évalués. Le comportement de navigation des utilisateurs est également suivi sur plusieurs pages web et compilé en un profil. Les autorités de surveillance ainsi que les tribunaux exigent un consentement pour ce faire.
3. le consentement à un transfert de données vers les États-Unis
Ce sujet est complexe et n'a pas encore fait l'objet d'un débat. Ce qui est clair, c'est que les données collectées via Analytics sont stockées sur les serveurs américains de Google et y sont également traitées à des fins propres à Google. Google est donc responsable au sens du RGPD et n'est plus seulement un sous-traitant qui fournit des analyses et des statistiques. Par conséquent, un accord de responsable conjoint doit être conclu et publié conformément à l'article 26 du RGPD.
Le transfert de données américaines présente une deuxième facette qu'il convient d'examiner. Par le biais de Google, les autorités de sécurité américaines ont également accès aux données et aux profils des utilisateurs, qui n'ont aucun recours s'ils ne sont pas citoyens américains. Ils ne sont même pas informés de ces accès à leurs données. Ce fait doit également être clairement établi pour que le consentement soit valable.
Nous ne pouvons pas passer sous silence le fait que les autorités de surveillance allemandes, contrairement à celles d'autres pays de l'UE, ont un problème avec le consentement au transfert américain. Il reste donc un risque résiduel pour les entreprises locales et, en cas de décision de l'autorité, la seule solution est de saisir le tribunal. Des voix importantes soutiennent toutefois la solution du consentement en cas de transfert américain. Thomas von Danwitz, juge à la CJCE et impliqué dans l'arrêt Schrems II, a déclaré dans une interview que les exceptions de l'article 49 du RGPD, dont le consentement, n'avaient pas encore été 'explorées'. Le point de vue selon lequel la loi limite ces exceptions aux transferts occasionnels est controversé. La déclaration claire de l'article 49, paragraphe 1, du RGPD doit ici prévaloir sur la déclaration peu claire du considérant 111. Et les autorités de contrôle en Autriche et en France laissent ouverte la possibilité du consentement dans leurs avis sur Analytics.
Il y a donc tout lieu d'opter pour cette solution ou de renoncer complètement à Google Analytics. Il n'existe pas d'alternative équivalente au consentement. Il est difficile d'imaginer qu'en signant les clauses contractuelles types de l'UE et en prenant des mesures complémentaires après une évaluation de l'impact du transfert (TIA), un résultat positif puisse être enregistré. Trop peu d'informations sont disponibles sur le traitement des données par Google. Il n'est tout simplement pas possible de procéder à une évaluation solide des risques.
Conception du consentement
Le consentement ne peut être valable que si les trois éléments suivants sont clairement expliqués aux utilisateurs : l'installation de cookies, le suivi avec la création de profils et le marketing personnalisé, et le transfert américain avec la possibilité d'accès des autorités de sécurité. Il est clair que cela doit se faire lors de l'accès à la page et c'est pourquoi nous avons mis en place les bannières de cookies, également appelées plates-formes de gestion globale du consentement, car il ne s'agit plus seulement de cookies depuis longtemps. L'emplacement des informations est encore en discussion. Selon les défenseurs de la protection des données, tout doit se trouver dans la première fenêtre où l'on donne son accord et pas seulement à un deuxième niveau après un clic. L'avenir nous dira ce qui est praticable dans ce domaine.
Mais une autre alternative
Il existe pourtant une alternative : si l'exploitant du site web est prêt à renoncer à certaines informations et à l'utilisation pour le marketing personnalisé, il existe la possibilité d'héberger lui-même Google Analytics. Cela permettrait d'éviter le transfert américain à Google. Il serait également possible de renoncer à l'installation de cookies et donc à la reconnaissance des utilisateurs lors de leur prochaine visite ou sur d'autres sites web. Si l'on se limite en outre au suivi des données de son propre site web et que l'on ne travaille qu'avec des données pseudonymisées, il est possible de se passer du consentement. Bien qu'ici aussi, certaines autorités de surveillance allemandes ne souhaitent pas autoriser ce tracking limité avec adresse IP abrégée sans consentement.
Conclusion :
Google Analytics et la protection des données peuvent être exploités de manière conforme dans deux scénarios :
- Sans consentement avec des prestations réduites, auto-hébergées sans Google, sans cookies et uniquement pour la propre analyse du site web.
- Ou en acceptant l'utilisation de cookies, le profilage et le marketing personnalisé et le transfert des données à Google avec l'accès possible des autorités de sécurité américaines.
Les deux scénarios ne sont pas absolument sûrs sur le plan juridique, car les autorités de surveillance allemandes mettent en doute aussi bien le consentement au transfert américain qu'une analyse pseudonyme des visites de sites web sans consentement.
French 
German 
English 
Italian