Le 10 février 2022, la CNIL a mis en demeure l’éditeur d’un site Internet de stopper son utilisation de Google Analytics.

Cette décision fait suite à une sanction similaire prise par l’autorité autrichienne de protection des données personnelles, initiée par l’association NYOB.

Le constat est clair : si vous utilisez Google Analytics, vous enfreignez la réglementation sur la protection des données à caractère personnel.

Nos explications :

1. Google Analytics = Transfert de données personnelles aux USA

Tout d’abord, les données collectées par cet outil constituent des données à caractère personnel, qui permettent d’identifier un individu précis, et sont donc soumises au RGPD.

Nous avions déjà évoqué cela lorsque la CNIL a condamné Google à une amende de 150 millions d’euros pour des manquements à la réglementation cookies.

Par ailleurs, lorsque vous faites appel à Google Analytics sur votre site Internet, les données sont nécessairement transférées aux USA, contrairement à d’autres entreprises qui hébergent les données au sein de l’UE pour les résidents européens

2. Quelle réglementation pour le transfert de données hors UE ?

Tout transfert de données en dehors de l’UE doit ainsi obéir à un régime strict décrit aux articles 44 et suivants du RGPD et ne peut être effectué qu’en contrepartie de la garantie que le traitement sera effectué avec un niveau d’exigence important.

Un tel niveau d’exigence est notamment satisfait en cas de transfert :

Vers un pays bénéficiant d’une décision d’adéquation : les autorités ont comparé la réglementation européenne et celle du pays en question et ont jugé qu’elle était suffisamment protectrice, ou

En contrepartie de garanties appropriées telles que l’adoption de règles d’entreprise contraignantes (binding corporate rules) validées par les autorités ou la conclusion d’un contrat contenant des clauses contractuelles types par lesquelles le destinataire des données s’engage à respecter des règles précises.

3. Et pour les USA en particulier ?

• 3.1 Privacy Shield : levée du bouclier

Pour transférer des données personnelles aux USA, il existait une voie royale jusqu’en 2020 : le transfert était valide dès lors que l’entreprise destinataire adhérait au Privacy Shield, accord négocié entre l’UE et les USA et qui constituait une décision d’adéquation.

Or, la Cour de justice de l’Union européenne a invalidé le Privacy Shield le 16 juillet 2020, estimant notamment que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines ».

La CJUE vise directement le Cloud Act, loi américaine adoptée en 2018 et permettant aux autorités d’accéder, uniquement dans le cadre de procédures pénales, à toute donnée stockée par des prestataires de services domiciliés aux USA, dont fait partie Google.

La CJUE a considéré que cet accès ne satisfaisait pas les principes de nécessité et de proportionnalité (il n’est pas limité au strict nécessaire) ni ne permettaient aux personnes concernées d’exercer un recours effectif (les conditions pour s’y opposer sont trop complexes).

• 3.2 Un régime fragilisé

Depuis cette invalidation, la légalité du transfert de données personnelles vers les USA était incertaine.

Sans cette décision d’adéquation, il est toujours possible d’opter pour l’une des autres possibilités, dont les clauses contractuelles types.

Par la suite, le CEPD, groupement des autorités européenne de protection des données personnelles, a indiqué au sein de recommandations du 18 juin 2021 que, lorsque la législation du pays du destinataires des données est susceptible de porter atteinte à l’efficacité des garanties mises en œuvre (comme les clauses contractuelles types), des garanties supplémentaires doivent être mises en œuvre.

Ces garanties sont d’ordre contractuel, organisationnel et technique.

Il serait ainsi théoriquement possible d’utiliser des clauses contractuelles types augmentées de garanties supplémentaires afin de transférer des données personnelles.

4. Que nous dit la CNIL ?

La CNIL, dans sa mise en demeure, relève que Google a effectivement adopté :

• Des clauses contractuelles types, et
• Des garanties supplémentaires.

Cependant, la CNIL indique qu’aucune de ces garanties supplémentaires « n’empêche les services de renseignement américains d’accéder aux données en cause ou ne rendent cet accès ineffectif ».

Concrètement, bien que Google applique certaines mesures complémentaires, les autorités américaines peuvent toujours accéder aux données que Google héberge, dans les conditions énoncées au sein du Cloud Act.

En conséquence, le transfert de données personnelles vers les USA effectué dans le cadre de l’utilisation de Google Analytics n’est pas conforme à la réglementation.

Google a tenté une ultime justification : le transfert est possible si l’utilisateur y consent expressément, après avoir été informé des risques et de l’absence de décision appropriée.

Néanmoins, la CNIL rappelle qu’un tel consentement doit être exprès (une case à cocher dédiée) et ne peut pas résulter de l’acceptation du dépôt de cookies sur le terminal de l’utilisateur.

La CNIL met ainsi en demeure l’éditeur de site Internet, qualifié de responsable de traitement, de se mettre en conformité sous un mois et, concrètement, d’arrêter d’utiliser Google Analytics.

5. Quelles répercussions ?

Cela concerne les prestataires tels que Google qui agissent en tant que sous-traitant mais surtout les éditeurs de sites Internet qui font appel à ces prestataires et qui sont qualifiés de responsables de traitement.

Cette décision impacte potentiellement tous les acteurs transférant des données personnelles vers les USA.

Si la CNIL se contente d’une mise en demeure en anonymisant l’éditeur concerné, c’est bien pour adresser un message : il ne sera plus possible de dire que l’on ne savait pas.

En conséquence, tout éditeur de site Internet est invité à mettre en œuvre les mesures suivantes :

• Auditer les transferts de données réalisés par l’entreprise ou (surtout) par ses sous-traitants : Il est fréquent qu’une entreprise fasse appel à des sous-traitants qui transfèrent les données hors UE.
• Identifier les transferts vers les Etats-Unis ;
• Déterminer si des « mesures supplémentaires » sont nécessaires, si celles déjà apportées sont suffisantes ou trouver un prestataire offrant le même service au sein de l’UE.

Le Pôle Contrats informatiques, Données et Conformité accompagne tout type d’acteur (public/privé) dans ses démarches de mise en conformité, en adoptant une vision business compliant et prospective dans un domaine ou les règles évoluent constamment.

Pour toute question, n’hésitez pas à nous contacter.