Examin avance sur sa roadmap 2022

Le mois dernier, nous vous avons demandé de répondre à un questionnaire pour en savoir plus sur vos besoins de conformité. Plus de 43 personnes nous ont répondu ! Un grand merci à eux ! 

Nous sommes toujours en phase d’analyse des réponses qui sont déjà riches d’enseignement.

On notera ainsi que :

les évaluateurs et leurs clients ne recherchent pas le même type de fonctionnalités (et c’est normal) mais également qu’ils ne sont pas tout à fait alignés sur les besoins finaux des clients (c’est plus problématique) ;

les actions de mise en conformité sont majoritairement réalisées par rapport à un besoin de protection et de réassurance interne, et non vis-à-vis de sollicitations externes de la part des clients ou des investisseurs ;

Il y a une forte concentration des besoins de conformité sur la cybersécurité, les données personnelles et dans une moindre mesure sur la qualité ;

Si l’avocat ou le spécialiste métier sont plébiscités pour leur aide à la mise en conformité, personne ne pense à l’expert-comptable comme un interlocuteur potentiel en la matière.

Une analyse plus fine suivra pour corriger les biais potentiels du questionnaire ;-).

En attendant, on vous propose en fin de newsletter un long développement sur le cas Google Analytics, sujet phare du moment pour nombreux de nos clients !

Les brèves de la protection des données et cybersécurité

#Cybersécurité

Le Campus Cyber inauguré !

Le Campus cyber a été inauguré le 15 février dernier en présence du ministre de l’Economie Bruno Lemaire.  Ses promoteurs souhaitent en faire un lieu-totem de la cybersécurité française et envisagent de réunir sur un même site, à terme, plus de 1600 spécialistes de la cybersécurité issus des secteurs publics et privés.


#Protection de données 

LE CEPD a publié ses lignes directrices sur la notification des violations de données.

Le collectif des « CNIL » des différents Etats membres poursuit son œuvre de doctrine en publiant ses lignes directrices sur la notification des violations de données.

Elles indiquent notamment les mesures de remédiation adéquates et comment réagir en cas de violations de données au travers des exemples les plus fréquents (rançongiciel, exfiltration de données d’origine numérique ou humaine, perte de support informatique, etc.).

Lire les lignes directrices du CEPD


Pour ne rien manquer, suivez-nous sur LinkedIn


Zoom sur notre roadmap

Comme évoqué dans l’introduction de notre newsletter, nous vous avons invité à répondre à un questionnaire pour définir notre roadmap. Avec 43 répondants, nous avons largement de quoi réfléchir et vous proposer le mois prochain une feuille de route précise. Stay tuned !

En attendant, ce mois-ci nous avons opéré une migration lourde de conséquences puisque, entre autres, nous avons mis à jour beaucoup de composants liés aux différents types de compte :

Vous pourrez désormais choisir entre une évaluation simple et une évaluation personnalisée. Lors de la création d’un programme de conformité, l’interface vous demandera de définir le périmètre de votre évaluation par rapport aux différentes cibles proposées dans chaque référentiel (par exemple : organisation, tiers, système d’information, établissement, etc.). Pour chacune de ces cibles, Examin déclinera le questionnaire adéquat. Vous pourrez ainsi définir des périmètres complexes et croisés entre vos différents programmes de conformité.

Vous pourrez également inviter des affiliés à votre compte et assurer ainsi la conformité de vos filiales, franchisés, adhérents, etc.

La plupart des documents sont désormais disponibles et éditables en version Word. C’est notamment le cas des rapports d’évaluation et des fiches de traitement.


Le point de vue Examin

Les risques de l’outil Google Analytics soulevés par la CNIL  

La Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure le 10 février 2022 un gestionnaire de sites internet. Ce dernier dispose d’un mois pour se mettre en conformité avec le Règlement européen sur la protection des données (RGPD), en cessant d’utiliser l’outil Google Analytics dans les conditions actuelles. Passé ce délai, le gestionnaire risque le paiement d’une amende pouvant aller jusqu’à 4% de son chiffre d’affaires annuel mondial.

Pour bien comprendre les enjeux de cette affaire, il faut tout d’abord s’intéresser à Google Analytics. C’est un outil d’analyse d’audience qui peut être intégré par les gestionnaires de sites web pour permettre le suivi des visites et fournir aux internautes des contenus plus personnalisés. Google permet d’attribuer un identifiant unique à chaque visiteur afin de mesurer la fréquentation des sites. Selon la CNIL, cet identifiant et les données qui lui sont associés constituent « des données à caractère personnel qui sont transférées par Google aux États-Unis ». En effet, la CNIL a été saisie par NOYB (l’association autrichienne « None of Your Business » présidée par Maximilian Schrems), et a analysé les conditions dans lesquelles les données collectées par Google Analytics sont transférées vers les Etats-Unis. Elle a estimé que ces conditions de transfert des données pouvaient exposer les utilisateurs européens à des programmes de surveillance aux Etats-Unis, pays dans lequel la législation permet aux autorités l’accès aux données des intéressés sans leur consentement. Ces transferts ne sont « pas suffisamment encadrés à l’heure actuelle », déclare la CNIL.

Cette décision intervient peu de temps après celle rendue le 13 janvier dernier, dans le même sens, par l’autorité autrichienne de protection des données personnelles. Pour arriver à ces conclusions, la CNIL s’appuie sur la décision majeure rendue par la Cour de justice de l’Union européenne en juillet 2020, dite « Schrems II ». Cette décision a invalidé le Privacy Shield, qui reconnaissait l’équivalence de la législation américaine au Règlement général sur la protection des données (RGPD). 

Depuis son invalidation, les organisations qui souhaitent transférer des données vers les Etats-Unis doivent signer « des Clauses Contractuelles Types » émises par la Commission européenne. Ces clauses doivent être correctement remplies et signées entre une entité américaine (importatrice des données) et une entité européenne (exportatrice des données) pour que le transfert de données soit conforme au RGPD.


En l’espèce, la CNIL a considéré que les clauses Contractuelles Types conclues entre Google et les gestionnaires des sites internet n’apportent pas, en pratique, une protection des données personnelles transférées vers les Etats-Unis effective et équivalente à celle prévue par le RGPD.

Les mesures de sécurité supplémentaires mises en place par Google ne sont pas suffisantes pour la CNIL. En effet, la CNIL énonce que ces Clauses Contractuelles Types n’empêchent pas « l’ingérence des autorités gouvernementales américaines dans les droits des personnes concernées (visiteurs des sites internet mis en cause par NYOB) ». Il convient de rappeler que le droit américain en vigueur (Cloud Act, loi fédérale adoptée en 2018) autorise l’accès par le Gouvernement américain aux données personnelles hébergées par des sociétés américaines, et ce peu importe le lieu de localisation des serveurs, qu’il soit situé dans l’Union Européenne ou non. 

Cet accès se fait sur simple demande des autorités américaines aux hébergeurs et ne requiert (selon le Cloud Act) ni l’information, ni le consentement des personnes concernées, dont les données sont hébergées par des acteurs américains, comme ici, Google. C’est en partie sur ce raisonnement juridique que s’est basée la CNIL pour considérer les transferts opérés vers les États-Unis, via l’utilisation de l’outil Google Analytics, comme contraires au RGPD. 


Comment faire ?


Même si cela est peu probable vu le contexte politique américain actuel, une évolution de la législation américaine pour se conformer au droit européen pourrait être considérée comme une alternative.

Tout comme « l’anonymisation des données » qui permettrait de traiter les données personnelles sans entrer dans le champ d’application du RGPD et ainsi contrer la prise de position de la CNIL. À l’heure actuelle, Google propose à ses clients un processus d’anonymisation des données collectées (adresse IP) réalisé, à priori, directement sur ses serveurs situés aux Etats-Unis. L’adresse IP est donc collectée par Google auprès des sites internet dotés de Google Analytics. Cette collecte interviendrait avant toute anonymisation de l’adresse IP, cette dernière étant réalisée directement aux Etats-Unis par Google et post collecte. 

Or, c’est précisément sur ce point important que la CNIL clôt sa mise en demeure. Elle estime en effet qu’il « ne ressort pas de la réponse de Google si cette anonymisation a lieu avant le transfert ou si l’adresse IP entière est, dans tous les cas, transmise aux États Unis et n’est raccourcie que dans un deuxième temps, après le transfert aux États Unis. Ainsi, d’un point de vue technique, il existe un potentiel accès à l’adresse IP entière avant qu’elle ne soit raccourcie”. 

Dès lors, Il semble opportun de s’interroger sur la possibilité pour les gestionnaires de site internet, utilisant Google Analytics d’anonymiser de manière effective, sur le territoire de l’Union Européenne, toutes les adresses IP et ce avant leur collecte par Google et transfert aux Etats-Unis. 

Des alternatives techniques à l’utilisation de Google Analytics ?


La solution la plus pérenne demeure effectivement le développement d’un écosystème technologique européen adapté aux contraintes des traitements de données personnelles en particulier pour les plus sensibles.

Ainsi, depuis mars 2021, afin de guider les acteurs français dans leur mise en conformité cookies, la CNIL analyse les solutions de mesures d’audience proposées sur le marché européen afin de déterminer si ces dernières sont susceptibles d’être exonérées du recueil du consentement (cf. lire notre article sur les bonnes pratiques d’Examin en matière de cookies). 

Les solutions technologiques existent déjà. Certaines sont même mises à disposition en open source avec possibilité de les héberger soi-même ou de demander à un opérateur de les héberger en mode “service managé”. Dans ce contexte, elles proposent dès lors une capacité de résilience et une maîtrise que ne pourra jamais offrir, par nature, un service tel que Google Analytics.  


Mais qui ira les choisir alors qu’il est tellement plus facile d’aller vers la marque que l’on connaît, vers le service poussé par les collègues du marketing ? Et ce, même si les solutions proposées ne répondent pas nécessairement aux enjeux ?

Alors même que dans l’immense majorité des cas, seules les fonctionnalités les plus basiques, présentes dans tous les outils du marché, sont utilisées.

Au-delà du cas particulier de Google Analytics, cette décision est surtout le révélateur de notre difficulté à aller vers des solutions qui ne dépendent pas des leaders du marché et de notre captivité par rapport à nos outils numériques. En bref, de notre volonté à prendre en compte les risques réels liés à notre écosystème et à la volonté d’y remédier.