Google Analytics et nécessité du recueil d'un consentement : on fait le point...

Google Analytics et nécessité du recueil d'un consentement : on fait le point...



Un récent article publié sur le blog d’Axeptio  ("Comment anonymiser les IP pour rendre compatible Google Analytics avec le RGPD") au sujet de la nécessité ou non de récolter le consentement dans le cadre de l’utilisation de Google Analytics a suscité beaucoup de réactions. Ayant moi-même, comme vous le savez peut-être, participé au développement juridique du logiciel et membre de l'équipe d'Axeptio, il m’a semblé utile d’intervenir pour préciser les développements opérés dans cet article qui n’ont peut-être pas été correctement appréhendés par certains lecteurs.
 

« Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité ». Considérant n°4 du RGPD.


Un petit rappel avant tout nécessaire pour éclairer les lecteurs sur ce que l’on peut faire ou ne pas faire juridiquement concernant les cookies. Premier point : le RGPD pose en son considérant n°4 un principe qu’il est bon de garder présent à l’esprit : « Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité ».
 
Ceux qui comme moi passent leur temps à manipuler le RGPD dans tous les sens savent qu’à bon nombre de principes répondent un nombre encore plus important d’exceptions.
 
Il ne faut donc pas s’arcbouter sur une règle en considérant de manière péremptoire qu’elle interdit telle ou telle option sans autre possibilité. Il existe des nuances dont il faut tenir compte et le maniement du RGPD est une alchimie subtile entre principes de protection et contraintes économiques. 

 
 

Google Analytics : recueil de consentement préalable obligatoire?


Ce point étant posée, quid de Google Analytics  et des fichiers déposés sur les postes des personnes concernées pour assurer son fonctionnement ? Le recueil d’un consentement est-il strictement nécessaire avant de pouvoir utiliser Google Analytics ?
 
Et bien non, sous certaines conditions strictes, Google Analytics n’est pas soumis à la récolte obligatoire de consentement préalable.
 
Les plus précis souhaiteront légitimement connaître le fondement juridique autorisant la dispense du recueil de consentement ?
 
En matière de cookies c’est l’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE qui s’applique.  Il s’agit simplement de la transposition en droit français de ce que l’on appelle le « paquet télécom européen », c’est à dire des directives qui ont modifié en profondeur le cadre juridique des communications électroniques.
 
Et c’est plus précisément dans l’article 32-IV de ce texte qu’on trouve l’information qui nous intéresse : sa rédaction constitue en réalité une dérogation aux principes posés par les articles qui le précédent et qui, eux, imposent un recueil de consentement en évoquant de manière précise les exceptions possibles :
 
« Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I. »

 
Quand on parle de Cookies, il faut donc être vigilant à ne pas dégainer le RGPD à tout crin sous peine d’être partiellement hors sujet si on n’a pas considéré les autres textes ayant vocation à traiter la question. Les cookies ne sont pas directement envisagés par le RGPD qui n’y consacre même pas un article, mais un simple considérant, en l’espèce le n°30.

Pourquoi ? Simplement parce que c’est un deuxième texte, le règlement EPrivacy (à ne pas confondre avec la Directive éponyme) qui devait être promulgué en même temps que le RGPD qui avait vocation à traiter de manière très approfondie cette thématique et celles de la protection des métadonnées de manière générale. Je vous renvoie à un article consacré à son sujet sur les motifs du retardement de son adoption (à ce sujet voir mon article "RGPD & et futur réglement EPrivacy : fromage et dessert…").

Si les raisonnement l'incluant dans la boucle de l'analyse sont fondés, c'est sous réserve que les textes qui, eux, traitent spécifiquement des cookies soient également considérés.

 
Pour aborder correctement la question de Google Analytics, vous devez donc faire un effort de lecture allant au delà du RGPD en maîtrisant également la Directive 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 25 novembre 2009 et la loi n° 78-17 du 6 janvier 1978 dont la dernière actualisation législative remonte  au 22 juin 2018.
 

Que dit la CNIL?

 
C’est à l’aune de ces textes qu’on comprend ensuite les explications de la CNIL : je cite :
 
«  Pour être dispensé du recueil du consentement, les outils de mesure d'audience doivent respecter les conditions suivantes :
 
  • L'éditeur du site doit délivrer une information claire et complète ;
  • Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tous les navigateurs, et tous les types de terminaux (y compris les smartphones et tablettes).
  • Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple).
  • Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;
  • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
  • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
  • Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
  • les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois. »
 
Ces conditions sont cumulatives. Mais si elles sont respectées, la récolte du consentement n’est donc pas requise si on souhaite utiliser les services de Google Analytics. Le géant américain a d’ailleurs beaucoup bossé pour permettre l’adaptation de son outil aux nouvelles exigences européennes dans le cadre des outils de configuration mis en place sur sa plateforme.
 
En réalité il existe un point d’achoppement qui, lui, justifierait un débat juridique : celui de l’anonymisation des données. Si la jurisprudence n’est pas encore très fournie, on peut cependant évoquer le très intéressant arrêt du Conseil d’Etat du 8 février 2017 (n°393714) venant confirmer la position de la CNIL  dans sa Délibération n°2015-255 du 16 juillet 2015 refusant la mise en œuvre par la société JCDecaux d’un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons sur la dalle de La Défense.
 
De même on pourra poursuivre la réflexion juridique en parcourant le très complet avis du G29 (regroupement des autorités de contrôle européennes) du 10.04.2014 sur les Techniques d’anonymisation duquel il ressort qu'une méthode satisfaisante d'anonymisation doit respecter les critères cumulatifs suivant :

 
  • individualisation : est-il toujours possible d’isoler un individu ?
  • La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
  • L’inférence : peut-on déduire de l’information sur un individu ?
 
Sur ce sujet, le débat doit rester ouvert. Mais reste qu’en conclusion, tout raisonnement consistant à considérer qu’à la notion d’analytics doit être associée obligatoirement celle de recueil de consentement préalable, et ce, de manière systématique est un raisonnement qui est donc erroné sur le plan juridique
.
 

Conclusion...


L’article d’Axeptio expliquant les modalités d’anonymisation de l’IP avant que Google ne soit mis dans la boucle est donc un article technico-juridique conforme aux exigences posées par l’article 32.IV de la loi du 6 janvier 1978, elle même amendée l’année dernière par notre Assemblée Nationale pour se conformer aux nouvelles dispositions du Règlement européen promulgué le 25.05.2018.