Google Analytics est encore l'outil de site web le plus populaire pour espionner le comportement des utilisateurs.
Il y a quelques jours, Google a fait un aveu surprenant. Depuis, il est indéniable que toutes les données collectées par Google Analytics sur un site web sont envoyées aux États-Unis, et ce depuis toujours ! et y sont traitées.
Pourquoi Google l'a-t-il admis ?
Le déclencheur a été une plainte déposée par l'organisation de protection des données noyb contre Google auprès de l'autorité de surveillance autrichienne. L'autorité a ensuite posé plus de 20 questions à Google.
Google a répondu aux questions de manière souvent évasive, souvent ignorante et incomplète. Le fait que Google proclame pour les données Google Analytics le stockage exclusif des données aux Etats-Unis est à moitié simple à expliquer. Pour cela, il faut que je revienne un peu en arrière.
Quelle est la situation juridique ?
Depuis l'arrêt de la CJCE sur le Privacy Shield, également appelé arrêt "Schrems II", les États-Unis sont considérés comme un pays tiers non sûr. Un transfert de données à caractère personnel vers les États-Unis nécessite un consentement.
Sur les sites web, il y a toujours un transfert de données à caractère personnel, car l'adresse réseau de l'utilisateur, l'adresse IP, est personnelle selon la décision de la plus haute juridiction.
Les Etats-Unis sont considérés comme un pays tiers non sûr, car il existe des recours juridiques qui permettent aux autorités américaines, comme les services secrets, d'accéder aux données des entreprises américaines. Si une entreprise américaine a stocké des données sur des Allemands en tant que clients, l'Amérique peut y avoir accès.
Les recours qui légitiment les services de renseignement à accéder secrètement aux données sont notamment la FISA Act et le Executive Order EO12333. Pour ces deux dispositions, Google a précisé dans sa réponse à l'autorité de surveillance qu'elles n'autorisaient l'accès qu'aux données stockées en dehors des États-Unis.
La logique de Google est donc la suivante : nous stockons toutes les données aux États-Unis, donc aucun accès ne peut avoir lieu en raison de FISA et EO12333. Par conséquent, les données sont en sécurité chez nous.
Ce n'est pas vrai, mais c'est probablement la meilleure objection que Google puisse faire. Il est probable que la créativité de cette prise de position de Google soit en quelque sorte en corrélation avec les salaires des avocats de Google. Néanmoins, Google a ainsi admis ce que beaucoup savaient déjà, mais qui n'a pas pu être prouvé.
Les données sont-elles en sécurité aux États-Unis ?
La meilleure question est de savoir si les données envoyées et stockées aux États-Unis par Google Analytics sont sûres.
Il est évident que des données d'analyse sont générées en Europe lorsqu'un Européen ouvre une page web qui intègre Google Analytics. Google collecte ces données via ce qu'on appelle un collecteur.
Un collecteur est un serveur qui se trouve, si possible, à proximité géographique de l'utilisateur et qui reçoit les données du point final. Ensuite, les données sont envoyées aux Etats-Unis.
Ainsi, une collecte de données a lieu à l'échelle mondiale. La NSA, en tant que service secret américain, a la possibilité, sur la base de la FISA et de l'EO12333, de procéder à ce que l'on appelle une Upstream Collection. Pour ce faire, un câble transatlantique est mis sur écoute, par lequel des données provenant d'ailleurs entrent aux Etats-Unis.
On pourrait ironiser sur le fait que cela est manifestement illégal en soi, sans consentement. En outre, les personnes concernées devraient être informées à ce sujet, ce qui n'est probablement pas le cas. En outre, selon le RGPD, chaque personne concernée doit notamment disposer d'un droit d'opposition. La NSA ne connaît probablement pas non plus cette notion.
Consentement requis pour Google Analytics
Rien qu'en raison de la collecte de données à l'échelle mondiale et des transferts de données vers les États-Unis, il faudrait donc demander l'autorisation d'utiliser Google Analytics avant de charger l'outil.
Dans la configuration standard actuelle, Google (Universal) Analytics utilise des cookies. Selon § 15 al. 3 TMG, cela nécessite un consentement. Justification :
- Les cookies sont installés et lus par Google Analytics.
- Les valeurs des cookies sont envoyées aux serveurs de Google.
- Les cookies ne sont pas nécessaires d'un point de vue technique. Preuve : Google Analytics peut aussi être exploité sans cookies
- La directive ePrivacy exige pour cela un consentement à l'article 5, paragraphe 3. Les données enregistrées dans les cookies ne sont pas pertinentes. Il ne doit donc même pas s'agir de données à caractère personnel
- Selon l'arrêt de la Cour fédérale de justice du 28 mai 2020 - I ZR 7/16 ("Planet49"), la TMG doit être interprétée conformément à la directive ePrivacy
En outre, il est possible de ne pas conclure de CGU efficace avec Google, parce que les sous-traitants sont répartis dans le monde entier, parce que Google ne supprime "éventuellement" les données sur demande qu'après deux mois, etc.
Tout cela est suffisant pour considérer qu'il y a obligation générale de consentement pour Google Analytics, même si aucun cookie ne devait être utilisé.
Informations sur Google Analytics
Les personnes qui ont consulté les informations sur la protection des données de Google et le contrat de Google Analytics sont probablement aussi intelligentes qu'avant. Les indications de Google sont tellement imbriquées, réparties dans divers documents, vagues et ambiguës, qu'une indication transparente à ce sujet semble impossible.
Conformément à l'article 12 du RGPD, une information transparente et compréhensible doit toutefois être fournie sur les traitements de données effectués avec Google Analytics.
Conclusion
Obtenir un consentement valable pour Google Analytics semble difficile. Ces "popups" de cookies sur les sites web ne sont pas seulement agaçants, ils sont aussi la plupart du temps illégaux dans la pratique .
Sans consentement, Google Analytics ne pourrait être exploité que si l'on renonçait aux cookies. Toutefois, la qualité des données est alors douteuse, car Google Analytics n'est pas optimisé pour ce mode d'exploitation.
Une analyse des visiteurs de sites web respectueuse de la protection des données est possible avec des outils comme Trackboxx. Sans cookies et sans fingerprinting notable, il n'est pas nécessaire de demander le consentement. L'accent est mis ici sur une utilisation simple, ce qui n'est certainement pas le cas de Google Analytics. Celui qui a regardé une fois le tableau de bord de Google Analytics n'aura pas tout compris, même après des heures.
De plus, je pense que nous devrions privilégier les fournisseurs allemands et cesser au plus vite de fournir gratuitement des données à Google.
Quiconque a déjà eu un cas d'assistance ou une question générale à poser à une entreprise connaîtra le sentiment de ne pas avoir reçu de véritable réponse. Mon expérience est que les fournisseurs locaux sont nettement plus conviviaux et ont mieux intégré l'idée de prestataire de services.
Essayez Trackboxx gratuitement pendant 30 jours
Sans indication de données de paiement ! Sans renouvellement automatique!
Ta Trackboxx prête à démarrer en 1 minute.
