La Cnil fait le point sur l'articulation entre mesure d'audience et RGPD

La Commission nationale de l'informatique et des libertés (Cnil) a publié un document dans lequel elle répond à la question suivante : "comment mettre son outil de mesure d'audience en conformité avec le Règlement général sur la protection des données ?". A cet égard, elle rappelle que les outils de mesure d'audience, entraînant le traitement de nombreuses données personnelles et leur transfert en dehors de l'Union européenne, doivent respecter le Règlement général sur la protection des données (RGPD) et la directive ePrivacy. 

Premier rappel par l'autorité française : pour s'éviter des procédures complexes et souvent coûteuses, les professionnels peuvent recourir à des solutions n'engendrant pas de transferts de données personnelles en dehors de l'Union européenne. 

Solution recommandée : recourir à la proxification

Une simple modification du paramétrage de l'outil de mesure d'audience est insuffisante, rappelle l'autorité française. Même sort pour le recours au chiffrement de l'identifiant généré par le fournisseur de l'outil ou bien du remplacement de celui-ci par un identifiant généré par l'opérateur du site. En effet, ces techniques n'apportent "que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement du fait de la persistance du traitement de l'adresse IP" et donc l'accès à de "nombreuses informations sur son terminal". 

Raison pour laquelle, conclut la Commission, il est indispensable de mettre en place des technologies qui rompent "ce contact entre le terminal et le serveur". Le recours à un proxy est possible, indique-t-elle. Ce dernier doit respecter "un ensemble de critères", comme elle l'avait rappelé dans sa fameuse décision sur Google Analytics, dont l'objectif est de s'assurer que "l'ensemble des informations transmises ne permet en aucun cas une réidentification de la personne".

Un encadrement des données pseudonymisées

D'après le cadre établi par l'European Data Protection Board (EDPB) en juin 2021, le recours à un proxy correspond au cas d'usage de la pseudonymisation "avant export de données", détaille la Commission. Ainsi, un tel export n'est possible que si le responsable du traitement a établi que les données pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable "même si elles sont recoupées avec d'autres informations". De plus, l'algorithme effectuant le remplacement de l'identifiant utilisateur par le serveur de proxification doit assurer "un niveau de collusion suffisant" (une probabilité suffisante pour que deux identifiants différents donnent un résultat identique après hachage) et comporter une composante temporelle variable.

La Cnil estime également comme nécessaire la suppression de site référent, de tout paramètre contenu dans les URL collectées et de toute donnée pouvant mener à une réidentification. Par ailleurs, elle exige le retraitement des informations pouvant participer à la génération d'une fingerprint afin de supprimer les configurations "les plus rares pouvant mener à une réidentification" ainsi que l'absence de toute collecte d'identifiant entre sites.

L'invalidation du Privacy Shield, à l'origine du débat

Pour rappel, c'est l'invalidation du Privacy Shield, ce texte qui encadrait les flux de données vers les Etats-Unis, qui avait ouvert le débat sur le recours à des outils de mesure d'audience commercialisés par des entreprises américaines. La Cnil avait suivi les pas de son homologue autrichien et avait déclaré illégale l'utilisation de Google Analytics, un service de mesure d'audience proposé par Google très largement utilisé. Elle jugeait que les transferts de données engendrées par ce système n'étaient pas "suffisamment encadrés à l'heure actuelle". "Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées", concluait-elle. 

Depuis l'adoption du Data Privacy Framework (DPF), les transferts de données vers les Etats-Unis si les entités sont certifiées peuvent se faire librement. Mais la proxification reste une bonne pratique, d'après la Cnil, pour les entités américaines non certifiées et celles situées dans des pays où une décision d'adéquation n'existe pas avec l'Union européenne.