Transfert de données personnelles : la CNIL pointe les risques de l’outil Google Analytics

La Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure le 10 février 2022 un gestionnaire de sites internet. Ce dernier dispose d’un mois pour se mettre en conformité avec le Règlement européen sur la protection des données (RGPD), en cessant d’utiliser l’outil Google Analytics dans les conditions actuelles. Passé ce délai, le gestionnaire risque le paiement d’une amende pouvant aller jusqu’à 4% de son chiffre d’affaires annuel mondial.

Pour bien comprendre les enjeux de cette affaire, il faut tout d’abord s’intéresser à Google Analytics. C’est un outil d’analyse d’audience qui peut être intégré par les gestionnaires de sites web pour permettre le suivi des visites et fournir aux internautes des contenus plus personnalisés. Google permet d’attribuer un identifiant unique à chaque visiteur afin de mesurer la fréquentation des sites. Selon la CNIL, cet identifiant et les données qui lui sont associés constituent « des données à caractère personnel qui sont transférées par Google aux États-Unis ». En effet, la CNIL a été saisie par NOYB (l’association autrichienne « None of Your Business » présidée par Maximilian Schrems), et a analysé les conditions dans lesquelles les données collectées par Google Analytics sont transférées vers les Etats-Unis. Elle a estimé que ces conditions de transfert des données pouvaient exposer les utilisateurs européens à des programmes de surveillance aux Etats-Unis, pays dans lequel la législation permet aux autorités l’accès aux données des intéressés sans leur consentement. Ces transferts ne sont « pas suffisamment encadrés à l’heure actuelle », déclare la CNIL.

Cette décision intervient peu de temps après celle rendue le 13 janvier dernier, dans le même sens, par l’autorité autrichienne de protection des données personnelles. Pour arriver à ces conclusions, la CNIL s’appuie sur la décision majeure rendue par la Cour de justice de l’Union européenne en juillet 2020, dite « Schrems II ». Cette décision a invalidé le Privacy Shield, qui reconnaissait l’équivalence de la législation américaine au Règlement général sur la protection des données (RGPD).

Depuis son invalidation, les organisations qui souhaitent transférer des données vers les Etats-Unis doivent signer « des Clauses Contractuelles Types » émises par la Commission européenne. Ces clauses doivent être correctement remplies et signées entre une entité américaine (importatrice des données) et une entité européenne (exportatrice des données) pour que le transfert de données soit conforme au RGPD.

En l’espèce, la CNIL a considéré que les clauses Contractuelles Types conclues entre Google et les gestionnaires des sites internet n’apportent pas, en pratique, une protection des données personnelles transférées vers les Etats-Unis effective et équivalente à celle prévue par le RGPD.

Les mesures de sécurité supplémentaires mises en place par Google ne sont pas suffisantes pour la CNIL. En effet, la CNIL énonce que ces Clauses Contractuelles Types n’empêchent pas « l’ingérence des autorités gouvernementales américaines dans les droits des personnes concernées (visiteurs des sites internet mis en cause par NYOB) ». Il convient de rappeler que le droit américain en vigueur (Cloud Act, loi fédérale adoptée en 2018) autorise l’accès par le Gouvernement américain aux données personnelles hébergées par des sociétés américaines, et ce peu importe le lieu de localisation des serveurs, qu’il soit situé dans l’Union Européenne ou non.

Cet accès se fait sur simple demande des autorités américaines aux hébergeurs et ne requiert (selon le Cloud Act) ni l’information, ni le consentement des personnes concernées, dont les données sont hébergées par des acteurs américains, comme ici, Google. C’est en partie sur ce raisonnement juridique que s’est basée la CNIL pour considérer les transferts opérés vers les États-Unis, via l’utilisation de l’outil Google Analytics, comme contraires au RGPD.

Comment faire ?

Même si cela est peu probable vu le contexte politique américain actuel, une évolution de la législation américaine pour se conformer au droit européen pourrait être considérée comme une alternative.

Tout comme « l’anonymisation des données » qui permettrait de traiter les données personnelles sans entrer dans le champ d’application du RGPD et ainsi contrer la prise de position de la CNIL. À l’heure actuelle, Google propose à ses clients un processus d’anonymisation des données collectées (adresse IP) réalisé, à priori, directement sur ses serveurs situés aux Etats-Unis. L’adresse IP est donc collectée par Google auprès des sites internet dotés de Google Analytics. Cette collecte interviendrait avant toute anonymisation de l’adresse IP, cette dernière étant réalisée directement aux Etats-Unis par Google et post collecte.

Or, c’est précisément sur ce point important que la CNIL clôt sa mise en demeure. Elle estime en effet qu’il « ne ressort pas de la réponse de Google si cette anonymisation a lieu avant le transfert ou si l’adresse IP entière est, dans tous les cas, transmise aux États Unis et n’est raccourcie que dans un deuxième temps, après le transfert aux États Unis. Ainsi, d’un point de vue technique, il existe un potentiel accès à l’adresse IP entière avant qu’elle ne soit raccourcie”.

Dès lors, Il semble opportun de s’interroger sur la possibilité pour les gestionnaires de site internet, utilisant Google Analytics d’anonymiser de manière effective, sur le territoire de l’Union Européenne, toutes les adresses IP et ce avant leur collecte par Google et transfert aux Etats-Unis.

Des alternatives techniques à l’utilisation de Google Analytics ?

La solution la plus pérenne demeure effectivement le développement d’un écosystème technologique européen adapté aux contraintes des traitements de données personnelles en particulier pour les plus sensibles.

Ainsi, depuis mars 2021, afin de guider les acteurs français dans leur mise en conformité cookies, la CNIL analyse les solutions de mesures d’audience proposées sur le marché européen afin de déterminer si ces dernières sont susceptibles d’être exonérées du recueil du consentement (cf. lire notre article sur les bonnes pratiques d’Examin en matière de cookies).

Les solutions technologiques existent déjà. Certaines sont même mises à disposition en open source avec possibilité de les héberger soi-même ou de demander à un opérateur de les héberger en mode “service managé”. Dans ce contexte, elles proposent dès lors une capacité de résilience et une maîtrise que ne pourra jamais offrir, par nature, un service tel que Google Analytics.

Mais qui ira les choisir alors qu’il est tellement plus facile d’aller vers la marque que l’on connaît, vers le service poussé par les collègues du marketing ? Et ce, même si les solutions proposées ne répondent pas nécessairement aux enjeux ?

Alors même que dans l’immense majorité des cas, seules les fonctionnalités les plus basiques, présentes dans tous les outils du marché, sont utilisées.

Au-delà du cas particulier de Google Analytics, cette décision est surtout le révélateur de notre difficulté à aller vers des solutions qui ne dépendent pas des leaders du marché et de notre captivité par rapport à nos outils numériques. En bref, de notre volonté à prendre en compte les risques réels liés à notre écosystème et à la volonté d’y remédier.

Nous conseillons...