Si je résume :
- Google Analytics. Transfert illégal de données personnelles vers les États-Unis. Mise en demeure de la CNIL du 10/02/2022 portant sur l'utilisation de Google Analytics. Raisonnement simplifié : téléchargement d'un script = contact direct entre un terminal et les serveurs de Google = transfert de données personnelles (adresse IP, site web consulté ‒ entête HTTP « Referer » ‒, date et heure de la consultation, modèle du terminal et du navigateur web ‒ entête HTTP User-Agent ‒ ainsi que quelques caractéristiques techniques ‒ comme la langue du système, entête HTTP Accept-Language ‒, etc.). Données pouvant être croisées par des acteurs hégémoniques. Rapatriement des données collectées par ledit script (dans le cadre de la mesure d'audience) auprès d'une entité ricaine. Peu importe si les données sont stockées dans l'UE, le CLOUD Act ricain s'applique ;
- AT Internet Xiti. Probablement soumis au CLOUD Act. Indices (selon la grille d'analyse contenue dans le mémorandum remis par un cabinet d'avocats ricain au ministère de la justice des Pays-Bas) : société commerciale rachetée en 2021 par l'américaine Piano Software Inc. (je l'ai appris dans un commentaire sur le blog de David Libeau) ; Comme l'indique le communiqué de presse, Piano est l'actionnaire unique d'AT Internet ; Pour compenser, Piano a annoncé la délocalisation de son siège social en Europe, mais ça change rien si le bidule UE est toujours une filiale du bidule ricain (ce que le communiqué ne dit pas) ; De même, Piano est toujours immatriculée dans le Delaware (chercher ici) ; Elle dispose toujours de plusieurs bureaux aux États-Unis (New York, Philadelphie, cf. son site officiel) ; Elle doit encore compter de très nombreux clients états-uniens puisqu'il s'agit de sa clientèle historique ;
- Matomo Cloud. Transfert illégal de données personnelles vers les États-Unis. Sur son site web, la société commerciale indique être basée en Nouvelle-Zélande, qui fait l'objet d'une décision d'adéquation de l'UE (ce qui autorise les transferts de données personnelles, article 45 du RGPD), ce que l'on vérifie auprès de la CNIL. Jusque-là, c'est conforme (même si une décision d'adéquation avec un pays membre des Five Eyes me fait tiquer). Matomo déclare aussi avoir recours au CDN (Cloudfront) d'Amazon Nouvelle-Zélande, ce qui l'exclurait de toute ingérence états-unienne. Or, il s'agit possiblement d'une filiale de l'entité ricaine dédiée au marketing, au lobbying, etc. De plus, il existe un seul réseau informatique mondial Amazon (AS16509 pour les connaisseurs), qui est piloté, maintenu, et contrôlé par Amazon États-Unis, qui a donc la main sur les serveurs, les données et les journaux (logs), et doit donc répondre aux autorités ricaines ;
- Cloudflare Web Analytics (chargement d'un JavaScript depuis « static.cloudflareinsights.com »). Transfert illégal de données personnelles vers les États-Unis. Même raisonnement que pour Google. Notons que la présentation de son outil par Cloudflare est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Même si Cloudflare ne traite conserve pas ces données personnelles, elle les a reçues…
Ouiiii, on peut installer, entre le visiteur d'un site web et Google / Amazon, un reverse proxy qui retire (strip) les entêtes HTTP contenant des données personnelles, afin de continuer à utiliser ces outils. Mais, si l'on externalise, ce n'est pas pour se farder un reverse proxy, normalement. Surtout que sa conformité au RGPD nous tombe dessus (est-il bien configuré) ? D'autant que ça retire une bonne partie de l'intérêt d'une mesure d'audience.
Oui, on peut continuer à utiliser un Matomo installé sur des serveurs détenus par une entité UE (soi-même ou un prestataire).