La CNIL annonce la mise en demeure d’un gestionnaire de sites français pour son usage de Google Analytics. Pour le gendarme des données personnelles, les transferts de données vers les États-Unis sont illégaux.
Voici une décision qui pourrait marquer un avant et un après dans la protection des données personnelles. La Commission nationale de l’informatique et des libertés (CNIL) annonce la mise en demeure d’un éditeur de site web utilisant l’outil Google Analytics. Dans son communiqué, le gendarme français des données personnelles qualifie d’« illégaux » les transferts de données vers les États-Unis.
Qu’est-ce que Google Analytics ?
Pour bien comprendre les enjeux de cette affaire, il faut tout d’abord s’intéresser à Google Analytics. Souvent comparé à une pieuvre, Google dispose de nombreux services et Analytics est un outil gratuit d’analyse d’audience d’un site web. Comme l’explique la CNIL, il permet de disposer de statistiques de fréquentation et peut être intégré par les gestionnaires de sites web, comme les sites de vente en ligne. Très populaire, la solution de Google attribue un identifiant unique à chaque visiteur afin de mesurer la fréquentation d’un site par les internautes. Google Analytics offre de nombreux paramètres et informations, au point de séduire des millions de sites web.
Qu’est-ce qui cloche ?
Pour le gendarme français des données personnelles, le problème vient de cet identifiant unique et les données qui lui sont associées. Cette donnée personnelle est directement transférée par Google aux États-Unis, soit un pays qui n’offre pas une protection comparable au RGPD européen. Saisie par plusieurs plaintes de l’association NOYB concernant ce transfert, la CNIL a décidé de se pencher sur la question. En coopération avec ses homologues européens, elle « a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées ».
#RGPD Saisie par @NOYBeu, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les #données collectées par Google Analytics sont transférées vers les États-Unis et estime que ces transferts sont illégaux 👉 https://t.co/4YWv9snEpY pic.twitter.com/zU9awj4KLF
— CNIL (@CNIL) February 10, 2022
Euh… c’est qui l’association NOYB ?
Avant de s’intéresser aux conclusions de la CNIL, un mot sur l’association None of Your Business (NOYB). Fondée par l’activiste autrichien Max Schrems, elle milite pour la protection des données privées. L’association a déposé quelque 101 réclamations dans les 27 pays membres de l’Union européenne, auprès des CNIL à locales, à l’encontre de 101 responsables de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis. Ce sont ses plaintes qui ont poussé les instances à procéder à des analyses.
Les constatations de la CNIL
La CNIL explique que les transferts vers les États-Unis ne sont pas suffisamment encadrés. Selon elle, il existe un risque que les services de renseignements américains accèdent aux données des internautes français, par l’intermédiaire de Google Analytics. « Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données » précise la Commission.
Pour arriver à ces conclusions, le gendarme des données personnelles s’appuie sur l’arrêt « Schrems II » qui a invalidé le Privacy Shield en 2020. Concrètement, il n’y a pas d’accord concernant la protection des données personnelles entre l’UE et les États-Unis. Le géant Google ne respecte donc pas le RGPD.
L’annonce de la CNIL fait suite à celle de l’autorité autrichienne de protection des données personnelles. En janvier, la « CNIL autrichienne » (la Datenschutzbehörde ou DSB), a considéré que Google Analytics ne respectait pas le RGPD. Les Pays-Bas se sont également emparés de ce sujet et c’est donc désormais au tour de la CNIL de se positionner. Les activités de Google sont aussi dans le viseur des régulateurs allemands.
Et la suite ? Google Analytics est-il menacé en Europe ?
Avec cette mise en demeure, le gestionnaire de site dispose d’un mois pour se conformer au RGPD. Plusieurs solutions sont possibles, comme le fait de ne plus utiliser Google Analytics (dans les conditions actuelles) ou d’opter pour un outil équivalent qui n’entraîne pas de transferts hors UE.
Derrière cette décision se cache surtout la volonté de faire réagir Google. Comme nous l’indiquions en janvier, la firme californienne va devoir prendre des mesures pour se soumettre aux réglementations européennes. Dans le cas contraire, il existe un risque pour Google de voir son outil Analytics devenir persona non grata en Europe.
Enfin, la CNIL prévient que son enquête « s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis ». Elle assure que des « des mesures correctrices à ce sujet pourraient être adoptées prochainement ». Selon les informations du Monde, l’outil Facebook Connect serait notamment dans le viseur.
CNIL