Google analytics va-t-il redevenir légal ?
Si vous utilisez Google Analytics 4, Google Tag Manger, Salesforce ou un autre outil US, vous savez que vous êtes dans l'illégalité, mais espérez passer sous les radars de la CNIL. Lisez ceci car le contexte évolue.
Résumé
Il est possible que l'usage de Google Analytics redevienne "légal" grâce à un accord qui confirmerait la possibilité pour les agences de renseignement américaines d'accéder aux données personnelles des européens (le principal point d'incompatibilité avec le RGPD), moyennant la mise en place d'un système complexe permettant à un européen estimant que ses données ont été injustement acquises par les agences de renseignement.
Détails
Plusieurs mises en demeure/décisions de la CNIL en 2022 ont confirmé que l'usage de Google Analytics (y compris GA4) est incompatible avec les obligations du RGPD, donc illégal en France, parce que les agences de renseignements US peuvent potentiellement accéder aux données personnelles collectées par Google/Alphabet qui est une entreprise américaine. Cela vaut dans l'absolu normalement pour tous les outils US qui collectent de la donnée personnelle, MEME SI LES DONNEES SONT STOCKEES SUR DES SERVEURS EUROPEENS (*)
C'est ce qui a poussé des milliers d'entreprises françaises à migrer vers Matomo, par exemple.
Mais une actualité récente va peut-être permettre de continuer à utiliser Google Analytics.
Dans le cadre des accords sur la fourniture de GNL américain (aka gaz de schiste) à l'Europe, les USA ont demandé une contre partie : rendre le RGPD compatible avec les pratiques des agences gouvernementales américaines.
Cet accord de principe qui remonte à mars 2022 et dont on ne connaissait pas les contours, vient de commencer à se concrétiser par la publication d'un "Executive order" (décret présidentiel) signé par Joe Biden himself, décrivant les grandes lignes d'un dispositif qui instaure une sorte de droit de recours, dans le cas où un citoyen européen estimerait que ses données personnelles n'ont pas été respectée.
Je n'ai pas tout compris mais quatre choses sont certaines
1/ C'est tellement complexe que je doute que Joe Biden comprenne le détail ce qu'il a signé
2/ On parle de médiation et de décision hors tribunaux
3/ On n'interdit pas du tout aux agences de renseignement américaines d'avoir accès aux données d'européens
4/ Ce dispositif censé renforcer les SCC (Standard Contractual Clauses) n'aura de sens que si un nouveau texte européen vient compléter le volet américain.
(*) Précision: ce message ne s'applique pas aux utilisateurs de Google Analytics qui ont mis en place des dispositifs d'anonymisation des données de types proxy.