Si vous vous intéressez un minimum à la gestion ou la création de sites web. L’annonce de février dernier concernant l’interdiction d’utilisation d’Analytics pour des problèmes de RGPD a du vous intriguer quelque peu.
Analytics et RGPD quel est le problème ?
10 Février 2022, petit tremblement de terre sur le Web français. La CNIL interdit l’utilisation de Google Analytics qui ne respecte pas les standard du RGPD. De nombreux « gros sites » français sont mis en demeure de se mettre en conformité. Selon la CNIL, les données transitant à but de statistiques permettent trop facilement d’identifier les utilisateurs. Et comme les serveurs sont situés au Etats-Unis, il y a risque de fuite d’information.
Anonymisation vs pseudonymisation
Pour que Google Analytics soit en accord avec la RGPD, il faudrait que le système actuel de pseudonymisation se transforme en anonymisation. Pour résumer, au lieu de masquer le nom de l’utilisateur derrière un pseudo, il faudrait tout simplement supprimer du flux d’information toutes les données qui permettrait de reconnaitre un utilisateur.
Google analytics et RGPD, des solutions provisoires ?
A ce sujet de nombreuses légendes urbaines ont transité. Mais, aucune n’était officiellement validée par la CNIL. Voici quelques unes des solutions qui ont été évoquées:
- Laisser comme cela, de toute façon, la CNIL ne va pas vérifier chaque site. C’était la solution de optimistes.
- Attendre, certains optimistes encore pensaient que Google allait créer quelques serveur en Europe pour que l’on puisse continuer à profiter du système. Mais, en prenant en compte les lois américaines, les autorités des USA auraient encore possibilité sur demande d’avoir accès aux données.
- Modifier la configuration d’Analytics pour obtenir une anonymisation contrairement à la pseudonymisation standard. Mais, cette solution n’est pas valable. Car l’intégralité des données n’est pas anonymisée.
- Changer de solution d’analyse, pour les plus radicaux. La solution serait de supprimer Analytics pour passer à une autre solution.
La solution de la CNIL au problème de RGPD de Google Analytics
Dernièrement la CNIL a publié un article expliquant qu’il existe une solution qui permettrait d’utiliser Analytics en total respect de la RGPD. L’utilisation de proxy ou proxyfication serait LA solution sauf qu’il faut respecter quelques règles:
- l’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure. L’IP peut être transformée en une donnée géographique utilisable qui ne permettrait pas de reconnaitre l’utilisateur.
- le remplacement de l’identifiant utilisateur par le serveur de proxyfication. L’identifiant peut être utilisé s’il a été soumis à un hashage ne permettant pas de la retrouver simplement.
- la suppression de l’information de site référent. Toutes les information re referer (pourtant bien utiles) devront disparaître.
- la suppression de tout paramètre contenu dans les URL collectées. Suppression également de tous les paramètres d’url (UTM, recherche interne, etc…).
- le retraitement des informations pouvant participer à la génération d’une empreinte. Tout ce qui pourrait s’apparenté à un footprint doit être retravaillé.
- l’absence de toute collecte d’identifiant entre sites (cross-site) ou déterministe
- la suppression de toute autre donnée pouvant mener à une réidentification
Voici une petite infographie représentative des modifications à opérer avant de pouvoir être en règle entre Google Analytics et RGPD.
Analytics et RGPD, est-ce viable ?
Lorsque l’on voit le nombre de restriction et la quantité d’information à modifier ou obfusquer. On peut se demander s’il est encore envisageable d’utiliser Google Analytics en toute légalité avec la RGPD. Donc, je pense que cela risque d’être fort compromis. A moins qu’un professionnel essaie de développer le proxy magique qui permettra de continuer à utiliser notre solution d’analyse préférée. Et qui au passage risque de lui apporter de substantiels revenus.