GuiGui's Show

En février 2022, la CNIL a mis en demeure plusieurs sites web de ne plus utiliser Google Analytics : transfert illégal de données personnelles vers les États-Unis, car ils ne présentent pas de garanties suffisantes de respect de la vie privée.

La problématique fondamentale qui empêche ces mesures de répondre à la problématique de l’accès aux données par des autorités extra-européennes est celle du contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. […] Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.

J'en profite pour rappeler que le RGPD ne prévoit pas d'approche par les risques en matière de transfert de données persos vers un pays qui ne présente pas un niveau adéquat de protection de la vie privée. Donc, peu importe la probabilité qu'un européen fasse l'objet d'une demande des autorités ricaines.

Je découvre les recommandations du CEPD sur les mesures supplémentaires à mettre en œuvre lors d'un transfert de données personnelles hors de l'UE et en l'absence de décision d'adéquation.

En juin 2022, la CNIL a publié cette notice sur l'utilisation d'un reverse proxy comme mesure technique supplémentaire autorisant le transfert vers les États-Unis.

Cette méthode peut être utilisée avec d'autres destinations / produits / outils que Google Analytics.

Elle me semble être une mauvaise idée à tous les niveaux :

• Technique :
  • La complexité pour bien configurer le proxy (afin qu'il supprime toutes les données personnelles) dépasse le niveau moyen des informaticiens actuels. De même, il faut prévoir le suivi dans le temps des normes (HTTP/2 ajoute-t-il des entêtes systématiques qui contiennent des données personnelles ?) et de ce que l'on dissimule derrière le proxy (la dernière version du produit récupère-t-elle des données persos supplémentaires ? Changement d'URL de la ressource. Etc.). À plus ou moins long terme, ça va nécessairement se terminer en fuite de données persos vers la destination :( ;
    
    
  • Toutes les données personnelles ne peuvent pas être retirées. Exemple : la langue (entête HTTP « Accept-Language ») en fonction de ce qu'on dissimule, ou des entêtes plus techniques qui peuvent contenir l'URL du site web d'où l'on vient comme HTTP CORS.
• Organisation :
  • L'opacité induite empêche un audit extérieur. C'est, à mon avis, la pire chose. Sans proxy, n'importe qui peut utiliser uMatrix et/ou les outils de développement web de son navigateur web pour constater l'existence d'un transfert de données personnelles. Or, il n'est pas possible, ni au quidam ni au bien informé, de constater ce qui transite entre un reverse proxy et la destination finale (toutes les données personnelles ont-elles été retirées ?). Cela signifie qu'il faut s'en remettre à une conformité interne (très souvent inexistante) ou à un improbable (statistiquement) contrôle de la CNIL ou au signalement d'un (ex-)employé ;
    
    
  • Il faut mener une réflexion approfondie sur l'impossibilité de ré-identifier une personne avec les données transmises… et l'actualiser lorsque le produit dissimulé change (la nouvelle donnée récupérée est-elle personnelle ? Si oui, peut-on la pseudonymiser ou la retirer ? Etc.). Le temps ne serait-il pas mieux investi dans la mise en place une vraie alternative conforme au RGPD ? Sauf que, le coût de l'analyse et de la mise en place sera minoré par les chefs ("ho, un proxy, c'est facile, apt-get install et c'est réglé"), donc la solution de reverse proxy sera privilégiée, à tort.
• Politique et économie :
  • Réponse technique à un problème qui ne l'est pas. Fuite en avant pour conforter nos habitudes. Manque de volonté pour définir une politique économique volontariste permettant l'émergence d'acteurs européens avec le même niveau de service que les ricains à l'aide d'un protectionnisme réglementaire que permet le RGPD. Solution du statu quo. "Un proxy c'est bien, car on ne sait pas et on ne saura pas faire aussi bien en UE". Défaitisme.

Dans le cas d'un outil de mesure d'audience (Google ou autre), l'utilisation d'un reverse proxy retire une grande partie de l'intérêt de l'outil. :D

La CNIL a une mission de conseil (article 8 de la loi I&L), mais pas de n'importe quoi. Là, on se tire une balle dans le pied, surtout avec l'absence de contrôle depuis l'extérieur. :(