CNIL et Google Analytics

Le 10 février dernier, la CNIL indiquait avoir mis en demeure un gestionnaire de site web de ne plus utiliser Google Analytics. La CNIL a-t-elle vraiment décidé de priver le web français de son outil de mesure d’audience préféré ? Et que devez-vous ou pouvez-vous faire si vous êtes, vous aussi, utilisateur de Google Analytics ?

1. Qui est visé par la décision de la CNIL ?

Le contexte dans lequel la CNIL a pris sa décision nous est quasiment inconnu. Nous savons simplement que cette décision fait suite à une plainte émanant de l’association None Of Your Business (NOYB). En réalité, la CNIL n’a pas rendu publique sa décision de mise en demeure ; elle a simplement publié un communiqué de presse.

La décision de la CNIL vise un éditeur de site internet français qui utilise les services Google Analytics pour obtenir des statistiques de fréquentation de son site. Son identité n’a pas été divulguée. Ce n’est donc pas la société Google qui est visée – du moins, en apparence…

2. Pourquoi Google Analytics pose problème ?

Le contrôle de la CNIL porte sur le transfert, vers les Etats-Unis, des données à caractère personnel des internautes visitant les sites internet utilisant Google Analytics. Pour bien comprendre, il faut se replonger dans le texte du RGPD.

2.1. Le principe : les transferts en dehors de l’UE sont interdits

Par principe, les transferts de données à caractère personnel vers des pays en dehors de l’Union européenne sont prohibés par le RGPD (article 46 du RGPD).

Ils ne deviennent possibles que si le responsable de traitement (dans notre cas, l’éditeur du site internet contrôlé) ou son sous-traitant (ici, Google) :

  • a pris des garanties appropriées ;
  • et que les personnes concernées (les internautes) disposent de droits opposables et de voies de droit effectives.

2.2. Quelles sont ces garanties appropriées ?

Le RGPD prévoit différents instruments permettant de transférer des données à caractère personnel en dehors de l’Union européenne. Pour faire simple, nous ne citerons que les deux plus fréquemment utilisés :

  • le transfert vers un pays reconnu comme pays adéquat par la Commission européenne. Par exemple, le Royaume-Uni a été reconnu comme offrant un niveau de protection équivalent à celui de l’Union européenne. Dans ce cas de figure, les transferts peuvent se faire librement, sans encadrement quelconque par un outil de transfert.
  • la conclusion de clauses contractuelles types. Il s’agit de modèles de contrat de transfert de données personnelles établis par la Commission européenne pour permettre à un exportateur (dans notre cas, l’éditeur du site internet) et un importateur (ici, Google) de réaliser un transfert de données offrant des garanties adéquates.

2.3. L’invalidation du Privacy Shield : les Etats-Unis ne sont plus un « pays adéquat »

Les Etats-Unis étaient reconnus par la Commission européenne comme pays adéquat. Ce pays bénéficiait d’une décision d’adéquation baptisée Privacy Shield. Il était donc possible de transférer des données à caractère personnel vers les Etats-Unis sans aucune autre formalité.

Mais, la Cour de Justice de l’Union Européenne a annulé le Privacy Shield dans un arrêt du 16 juillet 2020.

Elle l’a justifié en raison du droit américain applicable qui permet aux services de renseignement américain d’accéder aux données, sans réelle protection équivalente pour les citoyens européens. Cette législation s’applique à tous les transferts de données adressées à ou transitant par des fournisseurs de services Internet et entreprises de télécommunications installés aux Etats-Unis.

Depuis cet arrêt, les Etats-Unis ne sont plus considérés comme étant un « pays adéquat » pour transférer des données à caractère personnel sans formalité.

2.4. Les clauses contractuelles types : un mécanisme de transfert toujours possible vers les Etats-Unis…

La décision de la CJUE n’a pas interdit les transferts de données à caractère personnel vers les Etats-Unis. Elle oblige à recourir à un autre mécanisme de transfert, comme celui des clauses contractuelles types.

C’est d’ailleurs la solution que la majorité des sociétés américaines ont adopté pour continuer de fournir leurs services en Europe. C’est le choix fait par Google pour ses services, dont Google Analytics.

2.5. … mais pas satisfaisant par la CNIL, en l’état.

La CNIL a rappelé que les transferts de données en dehors de l’UE doivent s’effectuer en offrant aux personnes concernées des garanties appropriées, ce qui ne semble pas être le cas :

En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

(Communiqué de presse de la CNIL, du 10 février 2022)

Dit autrement : la CNIL constate que les garanties proposées contractuellement par Google ne suffisent pas à éviter que les données des internautes, transférées aux Etats-Unis, puissent être consultées et utilisées par les services de renseignements américains.

3. Que doivent faire les utilisateurs de Google Analytics ?

La décision de la CNIL ne concerne qu’un éditeur de site internet en particulier. Toutefois, sa décision est transposable à tous les utilisateurs de Google Analytics. En tant qu’éditeur de leur site internet, les utilisateurs de Google Analytics sont responsables de leur traitement et se doivent de veiller à ce que leurs transferts de données en dehors de l’UE respectent le RGPD.

Les utilisateurs de Google Analytics ont plusieurs « choix ».

3.1. Négocier avec Google

Vous pouvez tenter d’imposer contractuellement à Google (on peut toujours rêver !) des mesures supplémentaires qui permettront d’éviter que les services de renseignements américains accèdent aux données transférées aux Etats-Unis de vos internautes. Mais quelles mesures techniques ou organisationnelles pourraient trouver grâce aux yeux de la CNIL ?

3.2. Attendre que Google réagisse (et cesser provisoirement d’utiliser Google Analytics)

La mise en conformité de Google Analytics pourrait passer par l’adoption par Google de mesures techniques supplémentaires offrant des garanties adéquates pour les internautes. Encore faut-il que la CNIL les juge suffisamment adaptées pour exclure la possibilité d’accès des services de renseignements américains à ces données.

La solution la plus simple serait que Google cesse tout transfert de données vers les Etats-Unis et opère son service Google Analytics depuis l’Union européenne : plus de transfert, plus de problème !

3.3. Adopter une alternative française ou européenne à Google Analytics

A court terme, c’est l’alternative juridique et technique la plus simple et réaliste.

Elle permet aussi de recourir à des outils de mesure d’audience dispensés du recueil de consentement pour déposer des cookies (voir les solutions référencées par la CNIL).

Mais cette alternative reste déplaisante pour les équipes marketing des entreprises qui utilisent Google Analytics avec une pléthore d’autres services fournis par Google.

4. Les autres services de Google risquent-ils d’être eux aussi concernés ?

Oui. Google Analytics n’est pas le seul service de Google opérant des transferts de données à caractère personnel vers les Etats-Unis. Ses autres services (Google Drive, Google Docs, etc.) sont prestés depuis les Etats-Unis.

En réalité, la question se pose à l’égard de toutes les entreprises américaines qui utilisent les clauses contractuelles types pour importer les données à caractère personnel de leurs clients européens. Ont-elles mises en œuvre des mesures efficaces pour empêcher tout accès par les autorités américaines de renseignement ?Les entreprises européennes faisant appel à des sous-traitants américains sont invités à le vérifier. 

La CNIL l’indique d’ailleurs dans son communiqué de presse :

L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement.

(Communiqué de presse de la CNIL, du 10 février 2022)

La tendance devrait donc être à la préférence européenne pour adopter des solutions numériques.

*

Vous souhaitez auditer vos prestataires américains ou négocier avec eux des clauses contractuelles types conformes aux exigences du RGPD ? Contactez-moi.

Inscription à la newsletter

Merci pour votre abonnement.
There was an error trying to send your message. Please try again later.

En validant ce formulaire, vous donnez votre consentement à recevoir ma lettre d'information. Vous pouvez retirer votre consentement à tout moment, en cliquant sur le lien de désinscription situé au bas de chaque lettre d'information. Pour en savoir plus sur ce traitement ou sur vos droits, consultez la Politique de confidentialité.

Gaëtan Bourdais, Avocat

Besoin d'un conseil ?

Je suis joignable pour discuter de vos projets et répondre à vos questions.

CONTACTEZ-MOI