Google Analytics y GDPR: la CNIL explica cómo cumplir

En febrero de 2022, la CNIL anunció notificaciones formales contra los sitios web franceses que usaban Google Analytics, considerando que el uso de esta herramienta era una violación del RGPD, debido a las transferencias de datos a los Estados Unidos.

Hoy, la CNIL hace un balance de la situación para ayudar a los jugadores web a comprender por qué ciertas configuraciones de la herramienta no son suficientes para cumplir y propone una solución operativa: el uso de un proxy.

Cambiar la configuración de las condiciones para el procesamiento de la dirección IP no es suficiente para cumplir

A raíz de esta posición adoptada por la CNIL en febrero pasado, algunos profesionales de la web han modificado su configuración de las condiciones para el procesamiento de la dirección IP, pero esto no es suficiente según la autoridad administrativa francesa porque los datos continúan transfiriéndose a los Estados Unidos.

Otra configuración que no es suficiente: el cifrado del identificador generado por Google Analytics, o su sustitución por un identificador generado por el operador del sitio. La razón esgrimida por la CNIL: “esto proporciona pocas o ninguna garantía adicional contra una posible reidentificación de las personas en cuestión, principalmente debido a la persistencia del procesamiento de la dirección IP por parte de Google. »

¿Cuál es el principal problema de la CNIL?

El principal problema destacado por la CNIL: “contacto directo, a través de una conexión HTTPS, entre el terminal de la persona y los servidores administrados por Google. Las solicitudes resultantes permiten a estos servidores obtener la dirección IP del usuario de Internet, así como una gran cantidad de información sobre su terminal. Estos pueden, de manera realista, permitir una reidentificación de este último y, en consecuencia, el acceso a su navegación en todos los sitios que utilizan Google Analytics. »

Una propuesta de solución compleja: el uso de un proxy

La CNIL recomienda utilizar un servidor proxy (un proxy) para romper el contacto directo entre el terminal del internauta y los servidores de Google. La idea es garantizar que toda la información transmitida no permita en modo alguno una reidentificación de la persona.

En su publicación de blog, la CNIL enumera todas las medidas necesarias que se deben implementar para que la representación sea válida y las condiciones de alojamiento adecuadas. Pero configurar un proxy configurado correctamente no se hace en un abrir y cerrar de ojos, y la CNIL es consciente de ello: “La implementación de las medidas descritas a continuación (nota: proxyficación) puede ser costosa y compleja y no siempre satisface las necesidades operativas de los profesionales. . »

análisis-proxy-cnilComparación de transferencias de datos con y sin proxy. © CNIL

¿Es hora de cambiar la herramienta de análisis web?

¿Es hora de cambiar de solución de analítica web? La pregunta es válida. Dans son blog post, la CNIL invite d’ores et déjà les acteurs du web à se tourner vers d’autres solutions ne réalisant pas de transfert de données personnelles en dehors de l’Union européenne… Le début de la fin pour Google Analytics en Francia ?

La CNIL ha publicado un FAQ sobre sus avisos formales de la CNIL en relación con el uso de Google Analytics. En particular, encontrará una lista de herramientas alternativas de medición de audiencia.

Botón volver arriba