Porto

Google Analytics et nécessité du recueil d'un consentement : on fait le point...

24 avr

Google Analytics et nécessité du recueil d'un consentement : on fait le point...

Par Christophe Landat Chiffres cléfs


Un récent article publié sur le blog d’Axeptio  ("Comment anonymiser les IP pour rendre compatible Google Analytics avec le RGPD") au sujet de la nécessité ou non de récolter le consentement dans le cadre de l’utilisation de Google Analytics a suscité beaucoup de réactions. Ayant moi-même, comme vous le savez peut-être, participé au développement juridique du logiciel et membre de l'équipe d'Axeptio, il m’a semblé utile d’intervenir pour préciser les développements opérés dans cet article qui n’ont peut-être pas été correctement appréhendés par certains lecteurs.
 

« Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité ». Considérant n°4 du RGPD.


Un petit rappel avant tout nécessaire pour éclairer les lecteurs sur ce que l’on peut faire ou ne pas faire juridiquement concernant les cookies. Premier point : le RGPD pose en son considérant n°4 un principe qu’il est bon de garder présent à l’esprit : « Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité ».
 
Ceux qui comme moi passent leur temps à manipuler le RGPD dans tous les sens savent qu’à bon nombre de principes répondent un nombre encore plus important d’exceptions.
 
Il ne faut donc pas s’arcbouter sur une règle en considérant de manière péremptoire qu’elle interdit telle ou telle option sans autre possibilité. Il existe des nuances dont il faut tenir compte et le maniement du RGPD est une alchimie subtile entre principes de protection et contraintes économiques. 
 
 

Google Analytics : recueil de consentement préalable obligatoire?


Ce point étant posée, quid de Google Analytics  et des fichiers déposés sur les postes des personnes concernées pour assurer son fonctionnement ? Le recueil d’un consentement est-il strictement nécessaire avant de pouvoir utiliser Google Analytics ?
 
Et bien non, sous certaines conditions strictes, Google Analytics n’est pas soumis à la récolte obligatoire de consentement préalable.
 
Les plus précis souhaiteront légitimement connaître le fondement juridique autorisant la dispense du recueil de consentement ?
 
En matière de cookies c’est l’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE qui s’applique.  Il s’agit simplement de la transposition en droit français de ce que l’on appelle le « paquet télécom européen », c’est à dire des directives qui ont modifié en profondeur le cadre juridique des communications électroniques.
 
Et c’est plus précisément dans l’article 32-IV de ce texte qu’on trouve l’information qui nous intéresse : sa rédaction constitue en réalité une dérogation aux principes posés par les articles qui le précédent et qui, eux, imposent un recueil de consentement en évoquant de manière précise les exceptions possibles :
 
« Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I. »
 
Quand on parle de Cookies, il faut donc être vigilant à ne pas dégainer le RGPD à tout crin sous peine d’être partiellement hors sujet si on n’a pas considéré les autres textes ayant vocation à traiter la question. Les cookies ne sont pas directement envisagés par le RGPD qui n’y consacre même pas un article, mais un simple considérant, en l’espèce le n°30.

Pourquoi ? Simplement parce que c’est un deuxième texte, le règlement EPrivacy (à ne pas confondre avec la Directive éponyme) qui devait être promulgué en même temps que le RGPD qui avait vocation à traiter de manière très approfondie cette thématique et celles de la protection des métadonnées de manière générale. Je vous renvoie à un article consacré à son sujet sur les motifs du retardement de son adoption (à ce sujet voir mon article "RGPD & et futur réglement EPrivacy : fromage et dessert…").

Si les raisonnement l'incluant dans la boucle de l'analyse sont fondés, c'est sous réserve que les textes qui, eux, traitent spécifiquement des cookies soient également considérés.
 
Pour aborder correctement la question de Google Analytics, vous devez donc faire un effort de lecture allant au delà du RGPD en maîtrisant également la Directive 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 25 novembre 2009 et la loi n° 78-17 du 6 janvier 1978 dont la dernière actualisation législative remonte  au 22 juin 2018.
 

Que dit la CNIL?

 
C’est à l’aune de ces textes qu’on comprend ensuite les explications de la CNIL : je cite :
 
«  Pour être dispensé du recueil du consentement, les outils de mesure d'audience doivent respecter les conditions suivantes :
 
  • L'éditeur du site doit délivrer une information claire et complète ;
  • Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tous les navigateurs, et tous les types de terminaux (y compris les smartphones et tablettes).
  • Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple).
  • Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;
  • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
  • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
  • Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ;
  • les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois. »
 
Ces conditions sont cumulatives. Mais si elles sont respectées, la récolte du consentement n’est donc pas requise si on souhaite utiliser les services de Google Analytics. Le géant américain a d’ailleurs beaucoup bossé pour permettre l’adaptation de son outil aux nouvelles exigences européennes dans le cadre des outils de configuration mis en place sur sa plateforme.
 
En réalité il existe un point d’achoppement qui, lui, justifierait un débat juridique : celui de l’anonymisation des données. Si la jurisprudence n’est pas encore très fournie, on peut cependant évoquer le très intéressant arrêt du Conseil d’Etat du 8 février 2017 (n°393714) venant confirmer la position de la CNIL  dans sa Délibération n°2015-255 du 16 juillet 2015 refusant la mise en œuvre par la société JCDecaux d’un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons sur la dalle de La Défense.
 
De même on pourra poursuivre la réflexion juridique en parcourant le très complet avis du G29 (regroupement des autorités de contrôle européennes) du 10.04.2014 sur les Techniques d’anonymisation duquel il ressort qu'une méthode satisfaisante d'anonymisation doit respecter les critères cumulatifs suivant :
 
  • individualisation : est-il toujours possible d’isoler un individu ?
  • La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
  • L’inférence : peut-on déduire de l’information sur un individu ?
 
Sur ce sujet, le débat doit rester ouvert. Mais reste qu’en conclusion, tout raisonnement consistant à considérer qu’à la notion d’analytics doit être associée obligatoirement celle de recueil de consentement préalable, et ce, de manière systématique est un raisonnement qui est donc erroné sur le plan juridique.
 

Conclusion...


L’article d’Axeptio expliquant les modalités d’anonymisation de l’IP avant que Google ne soit mis dans la boucle est donc un article technico-juridique conforme aux exigences posées par l’article 32.IV de la loi du 6 janvier 1978, elle même amendée l’année dernière par notre Assemblée Nationale pour se conformer aux nouvelles dispositions du Règlement européen promulgué le 25.05.2018.






 
 

Actualités

Toutes les actualités

Témoignages

  • Grâce à l'abonnement Getavocat j'ai multiplié les conquêtes, je ne bégaye plus, j'ai gagné au Loto et je viens de m'acheter mon 3ème jet privé. En plus Maître Landat me fait mon repassage et vient me cuisiner des crêpes à toutes les Chandeleur! C'est à peine croyable... que vous ayez faillit croire cet avis complètement bidon. Mais au moins vous avez consulté le site web en profondeur, bravo! On vous a pas dit? Chez Getavocat on offre aussi de l'humour (attention option payante).

    Jean Rhajoutt Groupe Mytho

  • Getavocat accompagne notre société Natural-net depuis 2011 avec une pleine et entière satisfaction de notre côté ! Une agence web rencontre de nombreuses problématiques liées au juridique. Dans tous ces cas nous trouvons auprès de Maitre Landat, réactivité, conseils et pédagogie nous permettant de décrypter les jargons juridiques !

    Eric Emery Société Natural-Net

  • Je pense que pour beaucoup de personnes faire appel à un avocat c’est un peu comme aller chez le dentiste, on sait que c’est pour notre bien, mais on y va toujours à reculons… Eh bien avec Getavocat on a envie d’y retourner sans raison particulière, si ce n’est le plaisir de faire les choses dans les règles de l’Art. Le contact est humain, chaleureux et les prestations sont réalisées promptement et de belle manière, ce qui fait que tout comme chez le dentiste, on ressort avec un beau sourire :-)

    Matthieu FERRY

  • Avant de connaître Getavocat, l'avocat c'était pour nous le type indisponible ou dédaigneux, qui coûte très cher et rédige des contrats incompréhensibles pour le milieu business. Maintenant, avec l'abonnement mensuel de Getavocat, on n'hésite pas à poser toutes nos questions à Christophe et on avance ainsi sereinement sur tous les sujets juridiques liés à nos activités sur Internet. Ses réponses sont claires, il est pédagogue, hyper réactif et très professionnel. Cerise sur le gâteau, il est vraiment sympa, si si!!! Abonnez-vous donc les yeux fermés. Corinne Gondouin

    Corinne Gondouin Fantarget (Tightr)

  • Interview de Me LANDAT sur GetAvocat dans la revue juridique DALLOZ : "Un avocat propose à ses clients une formule d’abonnement juridique à bas prix"

    Article de Anne PORTMANN DALLOZ Actualité Lien vers l’article

  • A l'époque, nous cherchions un avocat qui serait à l'écoute de notre projet, suffisamment flexible pour comprendre le contexte dans lequel nous évoluons mais aussi un avocat qui sache attirer notre attention sur les points litigieux que nous n'imaginions pas (sans pour autant crier Au Loup)... La condition de base étant d'être à l'aise dans nos échanges et de ne pas être impressionnés par la Fonction (la robe noire, le talon des chaussures qui claque...) ! Christophe est un avocat 2.0 qui nous connecte aux réalités juridiques qui nous entourent !

    Cyrielle Durand

  • Getavocat a réalisé un travail formidable sur l'écriture de nos conditions générales d'utilisation du site Jobapic.fr. Il a toujours été à l'écoute sur nos contraintes et a su faire preuve d’un grand professionnalisme. Cette expérience fut très enrichissante et agréable.

    David MARCHESSON

  • Je remercie grandement Getavocat, super réactif et c'est vraiment appréciable en ces temps où il nous faut allez vite pour conserver notre business. Les retours sont vraiment clairs et me permettent d'être très efficace. Donc un grand merci pour l'attention et le suivi.

    Dimitri De Cruz Société Mon Coach Brico

  • Plus qu’un avocat, avec Getavocat nous avons eu à la fois conseils, expertise et bienveillance. Il a su nous expliquer de manière claire et compréhensible tous les points de vigilance liés à notre projet et nous a très bien conseillé. Une oreille attentive et disponible qui vous comprend et vous conseille, le tout avec une pointe d’humour, voilà le résumé que l’on pourrait en faire.

    Mathieu GABAUDAN

  • Interview de Me LANDAT sur GetAvocat dans la revue juridique DALLOZ : "Un avocat propose à ses clients une formule d’abonnement juridique à bas prix"

    Article de Anne PORTMANN DALLOZ Actualité Lien vers l’article