Dans un article du quotidien Le Monde, Martin Untersinger et Alexandre Piquard, publiaient, en janvier 2022, un article au titre percutant : L’utilisation de Google Analytics jugée contraire au droit européen sur les données personnelles. Ce n’est pas la première ni la dernière fois, que le sujet de l’analyse des métadonnées soulève les passions et que Google est au coeur de la polémique. Voyons comment l’entreprise a dû s’adapter pour regagner la confiance des utilisateurs.
Google Analytics sous les projecteurs
Google Analytics, utilisé par plus de 84% des sites web dans le monde, enregistre une quantité astronomique de données. Pourtant, la manque de transparence demeure préoccupant. En effet, cette opacité soulève des inquiétudes quant à la confidentialité et à la protection des données des internautes. Par exemple, de nombreux sites web intègrent des codes de suivi pour Google Analytics sans informer explicitement les utilisateurs de l’étendue de la collecte de données. De plus, un article du New York Time (Klosowski, 2021) démontre que la plupart des sites web n’incluent pas de politiques de confidentialité pour informer les utilisateurs sur l’utilisation de Google Analytics. Aux États-Unis la législation qui encadre les pratiques n’est pas uniforme d’un État à l’autre.
David contre Goliath
C’est à la suite de plus d’une centaine de plaintes déposées en 2020 auprès de plusieurs autorités de protection des données européennes, que l’activiste Max Schrems a finalement obtenu une petite victoire auprès de l’autorité autrichienne de protection des données personnelles. L’organisme autrichien, équivalent à la Commission nationale de l’informatique et des libertés (CNIL), a exprimé ses inquiétudes concernant le transfert vers les États-Unis des données des internautes européens visitant les sites utilisants Google Analytics. Il a jugé que même si ces données étaient pseudonymisées, elles restaient susceptibles d’être aisément combinées, permettant l’identification des invidivus, et pouvant être utilisées par les Services de renseignements américains. Bien entendu, cela soulève des préoccupations concernant les enjeux diplomatiques, entre autres, mais aussi politiques et sociaux comme la sécurité nationale, la surveillance, les relations commerciales, le profilage et le risque d’entrave à la législation en vigueur en Europe en matière de protection des données et de vie privée, notamment le Règlement général sur la protection des données (RGPD), qui vise à garantir un niveau élevé de protection des informations personnelles des individus.
Failles dans la pseudonymisation
Prenons l’exemple édifiant des données soi-disant “anonymes”. Odia Kagan, siégant au GDPR (General Data Protection Regulation), nous présente une étude du MIT (Massachusetts Institute of Technology), publiée en 2013, qui soulignait des statistiques inquiétantes. En effet, près de 99% des individus suivis lors de l’étude ont pu être identifiés de manière unique à partir de seulement 15 données de géolocalisation anonymisées. Il a été démontré qu’en connaissant par exemple, quatre points aléatoires de leur trajectoire quotidienne, comme l’endroit et l’heure où ils prennent leur café le matin, cela suffisait à les identifier de manière unique dans 95 % des cas, et ce, dans un ensemble de données de 1,5 million de personnes. Ces résultats choquants ont secoué l’industrie, illustrant les failles béantes dans la prétendue “anonymisation” des données.
Des pas dans la bonne direction
L’Union Européenne et les États-Unis ont récemment annoncé un nouvel accord pour mieux encadrer le partage des données personnelles (Aronssohn, 2023). Cet accord intervient après l’invalidation du “Privacy Shield” en 2020, par la Cour de justice de l’Union Européenne (Bateman, 2023). Mme von der Leyen, à la tête de la Commission européenne, et Joe Biden, Président des États-Unis, ont convenu d’un accord préliminaire en mars 2022 pour créer un nouveau cadre juridique. Ce cadre juridique vise à renforcer les protections en limitant l’accès des agences de renseignements américaines aux données collectées en Europe et transférées ou stockées aux États-Unis. Il est essentiel que cet accès soit restreint à ce qui est jugé « nécessaire ». Ce texte offre également aux citoyens européens la possibilité de contester la collecte illégale de leurs données personnelles par les agences de renseignements américaines. Ils peuvent ainsi demander la suppression ou la rectification de ces données. Bien que non encore légalement contraignant, cet accord a reçu un accueil favorable de la part du Comité européen de la protection des données. Max Schrems estime, quant à lui, que le nouvel accord n’apportera pas de réelles améliorations en matière de protection des données personnelles des Européens, et a annoncé qu’il poursuivra sa bataille en justice.
La gestion des cookies
Google promouvoit ainsi sa dernière version de Google Analytics, Google Analytics 4, qui inclut notamment des paramètres de confidentialité comme la mesure sans cookies, et la modélisation du comportement et des conversions. Depuis son introduction en octobre 2020, cette version a été vantée pour sa capacité à mieux prendre en compte les préoccupations liées à la protection des données. Ainsi, la version précédente, Google Analytics Universal, s’est arrêtée le 1er juillet 2023. Tous les utilisateurs de Google Analytics Universal sont dorénavant encouragés à migrer vers cette nouvelle version de l’outil.
Adopter les bonnes pratiques
Enfin, trouver un équilibre entre l’amélioration des services et le respect de la vie privée reste un défi constant. Les entreprises doivent naviguer avec précaution, en garantissant une transparence totale sur la collecte et l’utilisation des données, tout en permettant aux utilisateurs de contrôler leurs informations personnelles. Dans cet optique, il est conseillé d’afficher de manière visible une politique de confidentialité complète détaillant les pratiques de collecte de données et de fournir des options aux utilisateurs pour refuser les cookies.
System D 
Leave a comment