Jean-Etienne Juthier - JDN - Mis à jour le 11/02/22 06:30 - Twitter - LinkedIn - Facebook - Whatsapp- Email
Trois plaintes avaient été déposées contre Auchan, Decathlon et Sephora pour leur intégration de Google Analytics. Trois autres portant sur Facebook Connect sont en cours d'instruction. A terme, tous les services stockant des données aux Etats-Unis pourraient être visés.
"Les données des internautes sont transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD"
Patatras. Ou plutôt badaboum. Pendant plus de 15 ans, comme à son habitude, Google a patiemment et méthodiquement construit sa position dominante dans le monde de la web analyse, en installant son outil Google Analytics à plus de 70% de parts de marché à l'échelle planétaire. Tout cela pour que de fichus Européens et leur obsession de la protection de la vie privée finissent par déclarer toute celle belle mécanique illégale.
Jeudi 10 février, un mois après son homologue autrichienne, la Cnil, autorité française de protection des données personnelles, a en effet publié sur son site Internet un court texte pour expliquer avoir mis en demeure un gestionnaire de site web de se mettre en conformité avec les règles régissant le transfert de données. En cause, son utilisation de Google Analytics, dont l'anonymisation des datas est jugée insuffisante au regard de leur parcours : un aller-retour sans péage vers les Etats-Unis et les centres de données de Google. Une terre où, en vertu de la législation locale, les autorités peuvent avoir libre accès aux données des internautes.
La Cnil ne le dit pas autrement : "Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d'accès des services de renseignements américains à ces données." Le texte de l'autorité française a beau être court au regard de son impact dans le monde du web, il a le mérite de la clarté. Autre morceau choisi : "La Cnil constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD".
Attention cependant : dans son communiqué, la Cnil ne dit pas s'en prendre au géant américain. C'est bien le gestionnaire de site utilisateur de la solution d'analytics qui est mis en demeure. Comment celui-ci peut-il se conformer au règlement européen dans le délais d'un mois imposé par l'autorité ? "Si nécessaire en cessant d'avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n'entraînant pas de transfert hors UE", répond la Cnil. Le gestionnaire de site devra donc analyser la plainte pour voir s'il peut supprimer certaines données transférées à Google Analytics afin de respecter la règlementation.
Au fait, qui est-il ce gestionnaire de site ? Conformément à ses habitudes, la Cnil ne le dit pas. Mais que cette première victime expiatoire se console, elle n'est que la première d'une longue liste : "D'autres procédures de mises en demeure ont été engagées par la Cnil à l'encontre de gestionnaires de sites utilisant Google Analytics". Pour savoir qui sont ces malheureux, un petit flash-back est nécessaire.
Plaintes contre Auchan, Sephora et Décathlon
La mise en demeure de la Cnil est en fait la conséquence de l'une des 101 (oui, pas 100, 101) plaintes déposées en 2020 par l'activiste autrichien de la donnée perso Max Schrems et de son association NOYB. Des plaintes adressées aux différentes autorités européennes de protection de la vie privée, qui elles-mêmes faisaient suite à une décision de justice, déjà initiée par le militant. En résumé, rappelle la Cnil, l'arrêt "Schrems II" de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020 a mis "en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n'étaient pas correctement encadrés". De quoi "invalider le régime de transferts de données entre l'Union européenne et les Etats-Unis dit Privacy shield", expliquait la Cnil à l'époque.
Qui en France était concerné par les plaintes de Max Schrems portant sur l'utilisation de Google Analytics ? Auchan, Sephora et Décathlon. Les trois plaintes sont respectivement disponibles ici, ici et là. A noter que l'Autrichien mitraille à tout va, car trois autres Français sont dans son collimateur, avec des plaintes déposées cette fois pour l'utilisation du Facebook Connect. Il s'agit d'Auchan, de Free Mobile et du Huffington Post. Pour les amateurs de tableau de chasse, la liste complète des plaintes est disponible ici.
Google et Google Analytics ne seront pas les seules victimes
Si les mises en demeure pour les deux co-accusés du premier gestionnaire de site ne font pas de doute, il n'y en a pas non plus beaucoup sur les futures décisions des homologues européens de la Cnil et de l'autorité autrichienne, les plaintes faisant l'objet d'une "coopération" entre elles, écrit la Cnil. Pas de doute non plus sur le fait que Google et Google Analytics ne seront pas les seules victimes. Tous les services faisant transiter des données personnelles par-dessus l'Atlantique finiront dans le même bateau. On peut notamment penser aux outils de connexion type Google Connect, et le Subscribe with Google utilisé par de nombreux sites média.
Et dans l'immédiat ? Pour les éditeurs de sites, difficile de se passer de Google Analytics tant l'outil est omniprésent, puissant, et intégré à l'écosystème Google, y compris dans son versant publicitaire. Mais il leur faudra juger s'ils sont concernés par la décision de la Cnil : font-ils transiter des données personnelles aux Etats-Unis comme le site incriminé ? Ce n'est pas forcément le cas et leur utilisation de Google Analytics peut être conforme à la règlementation s'ils n'ajoutent pas de données personnelles aux informations transmises à Google Analytics. S'ils se retrouvent contraints de changer d'outil, ils pourront piocher dans la liste des solutions validées par la Cnil, disponible ici, la plus connue étant Analytics Suite Delta d'AT Internet.
En face, Google peut-il adapter Google Analytics ? Après la décision de l'autorité autrichienne, le géant américain s'était fendu d'une communication. Plutôt que de proposer une évolution de son outil, il réclamait un nouveau cadre législatif européen en remplacement du Privacy shield. Peu de chance que sa position ait évolué.
"Toute entreprise se servant de Google Analytics est désormais susceptible d'être sanctionnée par la Cnil"
Luciana Uchôa-Lefebvre - ALEXANDRA ITEANU (ITEANU AVOCATS)
Pour l'avocate responsable du pôle RGPD et data du cabinet Iteanu Avocats, en mettant en demeure un utilisateur de Google Analytics, la Cnil pousse les entreprises à se tourner vers des solutions européennes.
JDN. La Cnil vient de mettre en demeure un gestionnaire de site web français qui utilise Google Analytics de se conformer au RGPD. Que signifie cette décision ?
Alexandra Itenau, responsable du pôle RGPD et data du cabinet Iteanu Avocats. © Iteanu Avocats
Alexandra Iteanu. Cette décision n'est pas tout à fait surprenante, on pouvait s'y attendre. La différence maintenant est que c'est clairement établi. Cela signifie très concrètement que toute entreprise européenne utilisant Google Analytics est susceptible d'être sanctionnée par la Cnil du fait de ne pas respecter les niveaux de protection requis par le Règlement général sur la protection des données.
La Cnil motive sa décision par le fait que Google transfère ces données aux Etats-Unis et que ces transferts sont illégaux. L'arrêt Schrems II de la Cour de Justice de l'Union européenne (CJUE) laissait malgré tout la porte ouverte à certains transferts, non ?
Oui, tout à fait mais cela ne concerne pas les Etats-Unis. De fait, depuis que la CJUE a invalidé le Privacy Shield (l'accord bilatéral qui autorisait le transfert de données entre l'Europe et les Etats-Unis, ndlr), on peut encore s'appuyer sur des dispositions prévues dans le RGPD : les clauses contractuelles type. Il s'agit d'un accord type qui peut être signé entre l'exportateur et l'importateur de ces données. Mais la CJUE a bien précisé qu'il revient à ces acteurs d'évaluer si en pratique la législation du pays importateur respecte le même niveau de protection offert par le RGPD. Or, la législation fédérale en vigueur aux Etats-Unis n'offre pas ce même niveau d'exigence.
Google Analytics rassemble des statistiques de navigation. Peut-on considérer ces données comme des données personnelles ?
Les données personnelles au sens du RGPD comprennent un large spectre d'informations qui permettent d'identifier directement ou indirectement une personne. Les données de navigation sont donc bien des données personnelles.
"Google Analytics est un sous-traitant, et non le responsable du traitement des données"
Pourquoi sanctionner le gestionnaire du site et non Google Analytics directement ?
Parce que pour le RGPD, Google Analytics est un sous-traitant, et non le responsable du traitement des données. Ce sont donc les entreprises qui se servent de Google Analytics qui déterminent les moyens et les finalités du traitement des données. Etant responsables, c'est à elles de s'assurer que leurs sous-traitants présentent toutes les garanties de conformité au RGPD.
La Cnil impose dans sa décision que ce gestionnaire n'utilise plus Google Analytics "dans les conditions actuelles". Google pourrait-il offrir une solution à ce problème ?
Une des solutions serait que ces données soient transférées vers les serveurs de l'entreprise en Irlande. Mais même dans ce cas se poserait la question d'une potentielle ingérence des autorités américaines.
"Même si les données étaient transférées vers les serveurs de Google en Irlande se poserait la question d'une potentielle ingérence des autorités américaines"
La raison est que le Cloud Act (pour Clarifying lawful overseas use of data act, loi fédérale américaine promulguée an mars 2018, ndlr) donne aux autorités américaines la possibilité d'accéder aux données hébergées dans les serveurs informatiques de toute filiale d'entreprise américaine située dans d'autres pays. Les autorités d'enquête américaines peuvent ainsi accéder aux données personnelles des citoyens européens sans les en informer ni leur proposer de recours…
Une très grande majorité de sites utilisent Google Analytics… Concrètement cela veut dire quoi dans l'immédiat ?
Cette décision pousse les entreprises à se tourner vers des solutions alternatives plus protectrices du RGPD. Elle met en lumière la dépendance de l'Europe face aux outils américains, Google mais aussi Microsoft, Amazon… La Cnil montre à travers cette décision qu'elle agit en tant que gardienne de notre souveraineté numérique, ce qui est très bien. Encore faut-il que, face à cette décision, il y ait des alternatives techniques qui puissent être proposées aux acteurs français. Cela nécessite des moyens qui permettent à ces solutions d'émerger.