L’étau se resserre (et les taux aussi, s’agissant de sa cotation en bourse) autour du grand magnat du numérique Google. Et pour cause, la  doctrine récente de la CNIL[1] risque de diminuer considérablement le nombre de ses clients européens dans les prochains mois.

Peut-être ferez-vous aussi partie de ces souscripteurs défectueux après la lecture de cet article.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

BREAKING NEWS – Mais de quoi parlons-nous ?

101 réclamations déposées auprès d’une trentaine d’autorités de contrôle européennes : voilà l’ampleur des enquêtes initiées par l’organisation à but non lucratif NOYB[2]. Par cette action coup de poing, le collectif dénonce des flux illégaux de données personnelles d’internautes vers les États-Unis.

[2]. De l’acronyme « None of Your Business » (« Ce ne sont pas tes affaires »), cet organisme à but non lucratif entreprend diverses actions en justice afin de faire respecter la protection de la vie privée dans le secteur du numérique.

 

Ces plaintes visent plus précisément à protéger les utilisateurs de sites Internet intégrant l’outil “Google Analytics”, et qui peuvent dire « bye bye » à la protection accordée aux informations les concernant…

Dans le cadre de ces signalements, la CNIL a conclu le 10 février 2022 que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne (UE).

 

GA : Google Analytics et Grands Avantages ?

De nombreux exploitants de sites Internet intègrent à leur interface les fonctionnalités de Google Analytics, qui leur permettent de mesurer leur audience et d’analyser l’efficacité de leurs campagnes marketing. Cet outil est également capable d’effectuer un suivi en temps réel du taux de fréquentation de leur plateforme.

Une solution indéniablement précieuse, donc, d’un point de vue commercial.

Mais pour calculer le degré de visibilité de ces médias, Google Analytics collecte diverses données : identifiants en ligne, adresses IP, renseignements stockés dans les cookies acceptés par l’internaute, etc.

 

Ne vous y Trumper / tromper pas, ces informations constituent bien des données à caractère personnel. Seules ou recoupées avec d’autres indicateurs, elles sont de nature à vous rendre identifiable.

Or, une fois recueillies, ces données sont hébergées dans les serveurs de Google situés aux USA. Et même si “l’on a tous en nous quelque chose de Tennesse”, les lois américaines ne donnent pas envie de voir ces informations stockées au fin fond du Michigan…

 

GA : Google Analytics ou Grosse Arnaque ?

En tant que fournisseur de communications électroniques, Google est tenu de donner aux services de renseignement nationaux, s’ils l’exigent, l’accès aux données qu’il héberge. Ces réquisitions s’imposent à la firme multinationale en vertu de la législation américaine (Section 702 FISA et Executive Order 12 333).

Et, tel que le reconnaît Google dans son rapport de transparence, les autorités fédérales lui adressent régulièrement de telles demandes…

Pour ces raisons, la Cour de Justice de l’Union Européenne (CJUE) a jugé en 2020 que les États-Unis ne pouvaient plus être considérés comme un pays assurant un niveau de protection adéquat aux informations personnelles dont il est destinataire[3].

Le rêve américain se transforme alors en véritable cauchemar pour la sécurité de ces données.

[3] Par arrêt du 16 juillet 2020 dit « Schrems II », la CJUE a ainsi invalidé la décision d’adéquation dont bénéficiaient les USA, et qui permettait jusqu’alors d’y transférer librement des données sans autorisation préalable ni nécessité de prendre de mesures complémentaires pour encadrer ces flux d’informations.

Si cette problématique vous intéresse, nous vous invitons à consulter notre précédent article sur ce sujet : CLOUD ACT danger – RGPD-Experts, les Experts en RGPD

GA : Google Analytics sans Garanties Appropriées

En l’absence de décision d’adéquation, les responsables de traitement ou sous-traitants ne peuvent transférer de données vers les USA que s’ils ont prévu « des garanties appropriées » pour assurer leur sécurité à l’étranger (article 46(1) RGPD).

Ces garanties peuvent notamment consister en la signature de clauses contractuelles types adoptées par la Commission Européenne, ou l’adhésion à un code de conduite ou mécanisme de certification approuvés.

 

Toutefois, la CNIL est venue souligner l’insuffisance de ces instruments juridiques pour encadrer les transmissions de données à caractère personnel vers les États-Unis.

D’abord, elle attire l’attention sur le fait que, compte tenu de leur nature conventionnelle, ces clauses contractuelles types ne lient pas les autorités des pays tiers. Dès lors, elles ne constituent pas un obstacle à d’éventuelles ingérences des agents fédéraux américains.

Ensuite, elle alerte sur le fait qu’aucune des précautions supplémentaires mises en place par Google ne semble pouvoir assurer un niveau de protection des données équivalent à celui garanti au sein de l’UE.

Ni les mesures juridiques et organisationnelles (notification des utilisateurs, publication d’un rapport de transparence, etc.), ni les mesures techniques (chiffrement ou pseudonymisation) instaurées ne sont satisfaisantes. Malgré ces dispositions, Google n’est concrètement pas en droit de s’opposer aux demandes d’accès aux données émises par les services de renseignement américains.

GA : Google Analytics et Gare aux Amendes ?

Là est tout le paradoxe de cette décision : alors que la CNIL liste l’ensemble des garanties appropriées mises en place par Google pour sécuriser les données personnelles des résidents européens recueillies, l’autorité de contrôle retient dans le même temps « qu’en décidant de mettre en œuvre la fonctionnalité Google Analytics sur [son] site Web aux fins d’évaluation et d’optimisation, [la société gestionnaire] du site Web a déterminé les moyens et les finalités de la collecte et du traitement […] et doit être considérée comme responsable de traitement ».

En statuant ainsi, l’autorité régulatrice fait peser la responsabilité de l’encadrement de ces transferts de données, non sur Google, mais sur la personne gérant concrètement la page Internet.

En conséquence, elle a prononcé à l’encontre de l’administrateur du site visé par l’enquête une mise en demeure de se conformer à la législation applicable en la matière dans un délai d’un mois…

« Oh my God Que faire si je gère un site Internet utilisant Google Analytics ? »

Le gendarme français de la protection des données a vaguement précisé que cette mise en conformité pouvait être opérée : « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE »[4].

[4] Si vous souhaitez lire la décision de la CNIL dans son intégralité, celle-ci est disponible à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf 

Un coup dur pour Google Analytics, qui détient actuellement plus de 70% des parts du marché mondial dans ce domaine[5].

Il est également envisageable d’opter pour des services n’attribuant pas d’identifiants personnels aux internautes. Moins fiables, ils permettent toutefois de n’exploiter que des données statistiques anonymes.

Si la CNIL a tu le nom du gestionnaire de site condamné dans sa décision, Auchan, Décathlon et Séphora ont également fait l’objet de plaintes pour leurs mauvaises pratiques sur leurs pages Web.

La condamnation de la CNIL ne semble donc que la première d’une longue série. Relativement faible pour l’instant, la sanction prononcée le 10 février 2022 vise à envoyer un avertissement à tous les autres gestionnaires de site recourant à Google Analytics…

[5] Source : Global web analytics software market share 2021 | Statista

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.