Google Analytics

Après les autorités de protection des données autrichiennenorvégienne ou portugaise, c’est au tour de la CNIL de pointer du doigt les transferts de données opérés dans le cadre de Google Analytics. Dans une décision du 10 février 2022, elle estime insuffisantes les garanties encadrant ces transferts pour assurer un niveau de protection satisfaisant des données personnelles des utilisateurs européens.

Dans une décision relayée  le 10 février 2022, la CNIL, saisie par l'ONG autrichienne de défense de la vie privée NOYB ("None of Your Business"), considère que le service Google Analytics n’est pas conforme au règlement général sur la protection des données (RGPD)[1] en raison des conditions dans lesquelles les données collectées lors de l’utilisation de Google Analytics sont transférées vers les États-Unis et du risque que cela crée pour les internautes français.

Plus précisément, en l’absence de décision d’adéquation de la Commission européenne établissant que les Etats-Unis assurent un niveau de protection adéquat des données à caractère personnel, ou de mise en place de garanties appropriées par Google, la CNIL estime que les données des internautes français risquent d’être transférées vers les services de renseignement américains en vertu du Cloud Act et/ou du Foreign Intelligence Surveillance Act (FISA), et ce en violation des articles 44 et suivants du RGPD – faisant ainsi de Google Analytics un service illégal.

Le raisonnement suivi dans la décision du 10 février 2022 a conduit la CNIL à mettre en demeure le gestionnaire de site français visé par la plainte de NOYB de se mettre en conformité avec le RGPD dans un délai d’un mois, soit en suspendant son utilisation de la fonctionnalité Google Analytics (dans les conditions actuelles), soit en recourant à un outil n’entraînant pas de transfert hors de l’Union européenne. 

Cette décision, dont l’impact sur le marché français sera majeur, est la suite logique de l’arrêt Schrems II.

La décision du 10 février 2022 s’inscrit, d’une part, dans la volonté de la CNIL de relocaliser la maîtrise des données des Européens en Europe. Cette volonté n’est pas nouvelle et trouve un exemple récent dans le livre blanc sur les données de paiement d’octobre 2021, dans lequel la CNIL appelle de ses vœux la localisation des données de paiement en Europe pour contribuer à la lutte sur la souveraineté numérique européenne. Similairement, la CNIL milite de longue date pour que l’hébergement des données de santé et des services liés à leur gestion soient réservés à des entités relevant exclusivement des juridictions de l’Union européenne[2].

D’autre part, cette décision Google Analytics s’inscrit dans le sillage de l’arrêt Schrems II dans lequel la CJUE, après avoir mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis en l’absence d’un véritable encadrement des transferts, avait conclu à l’invalidation du Privacy Shield. La CNIL ne fait donc que tirer les conséquences des directives luxembourgeoises.

 

Quelles solutions pratiques ?

La solution mise en avant par la CNIL est, pour les entreprises françaises, de se tourner vers des solutions européennes. Ces dernières existent et semblent représenter les seules alternatives viables à Google Analytics.

Cependant, il pourrait être envisagé de recourir à l’article 49.1 du RGPD, qui pose une exception à l'interdiction des transferts vers des pays non sûrs dès lors que l’utilisateur a donné son consentement explicite et informé préalablement "des risques que ce transfert pouvait comporter [...] en raison de l'absence de décision d'adéquation ou de garanties appropriées". Cela supposerait toutefois que Google Analytics ait bien été identifié en amont comme un cookie sur les différents sites l'utilisant (sans quoi l’internaute n’aura pas la possibilité de l’accepter ou non) et que le consentement ainsi obtenu ait été réellement donné librement (l’internaute qui le refuserait devrait néanmoins pouvoir accéder au site demandé).

Toutefois, il est peu probable que cette parade résiste à l’examen de la CNIL, notamment parce que l’article 49 du RGPD a vocation à s’appliquer à des "dérogations pour des situations particulières" et à des transferts "occasionnels et non répétitifs". Le considérant 111 du RGPD et les lignes directrices 2/2018 sèment le doute sur l’opportunité de se fonder sur l’article 49.1 du RGPD en ce qu’ils restreignent la possibilité de recourir au consentement à certains cas précis, qui n’auraient pas vocation à s’appliquer au contexte actuel.

En conséquence, une seule alternative semble possible :

  • l’arrêt du recours à Google Analytics, vers lequel la CNIL semble clairement s’orienter ; et
  • le remplacement de Google Analytics par un module européen.

 

Un raisonnement applicable à de très nombreux autres services

La décision de la CNIL sur Google Analytics pourrait porter un coup d’arrêt à de nombreux services similaires à celui de Google. Le régulateur des données pourrait examiner prochainement d’autres affaires du même type (voir par exemple le courrier adressé par Hyperhop à la CNIL du 29 janvier 2022).

Poussé à l’extrême, le raisonnement de la CNIL pourrait s’appliquer à tous les services de cloud ou de paiement américains traitant les données à caractère personnel d’individus européens.

En effet, même dans l’hypothèse où les données seraient stockées en Europe et non transférées vers les Etats-Unis, la situation pourrait être regardée comme illégale par l’Autorité dès lors que le Cloud Act et le FISA permettent aux services de renseignement américains d'accéder aux données quelle que soit leur localisation. Autrement dit, ce raisonnement conduirait à conclure à l’impossibilité de recourir aux services d’une société américaine… à moins que les lois américaines n’évoluent sur ce point, comme le propose NOYB (option qui, à notre connaissance, n’est pas discutée à ce jour au niveau américain).

La position de la CNIL et de ses homonymes européens ainsi que le durcissement des règles européennes pourraient donc amener Google à fermer l’accès à ses services en Europe, comme Meta l’a envisagé récemment pour les services Facebook et Instagram[3].

[1] Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] « La Plateforme des données de santé (Health Data Hub) », 9 février 2021, cnil.fr

[3] Dans son rapport annuel à l'autorité des marchés financiers aux États-Unis, la SEC (Securities and Exchange Commission), Mark Zuckerberg a indiqué vouloir mettre en place un contrat cadre sur les échanges de données personnelles entre l'Europe et les Etats-Unis. Dans ce cas contraire, il envisage le retrait de ses services les plus populaires en Europe, comme Facebook et Instagram.