Google Analytics a été déclaré contraire à la règlementation générale sur la protection des données à caractère personnel.

C’est la DSB (pour Datenschutzbehörde), l’autorité de contrôle autrichienne, qui, la première, a constaté le défaut de conformité de Google Analytics au Règlement général sur la protection des données (RGPD), dans le cadre de l’instruction de l’une des nombreuses plaintes déposées par None Of Your Business (NOYB), l’ONG autrichienne dirigée par monsieur Schrems, à l’encontre d’entreprises européennes travaillant avec Google et Facebook.

Quelques jours après, le Comité européen de la protection des données (CEPD) a publié une sanction à l’encontre du Parlement européen pour transferts illégaux de données entre l’Union européenne et les États-Unis. C’était également l’utilisation de Google Analytics par le site web interne du Parlement de test Covid-19 qui posait problème.

La Commission nationale de l’informatique et des libertés (CNIL), relevant l’occasion de « tirer collectivement les conséquences de l’arrêt Schrems II » a, à son tour, considéré que les transferts dus à l’utilisation de Google Analytics interviennent en violation du RGPD, justifiant la suspension de cette utilisation.

L’ensemble de ces procédures a permis d’établir que Google avait partiellement ignoré la décision Schrems II qui a annulé le Privacy Shield bouclier garantissant la libre circulation des données à caractère personnel entre l’Union européenne et les États-Unis.

En effet, les données collectées par Google Analytics sont hébergées aux États-Unis et dès lors, l’utilisation de Google Analytics implique un transfert de données personnelles aux États-Unis. Or, en l’absence de décision d’adéquation, la licéité du transfert s’apprécie au regard des garanties appropriées (telles que les clauses contractuelles types qui ont été établies par la Commission européenne) ou des garanties supplémentaires contractuelles, organisationnelles et techniques mises en place, ou encore des dérogations pour situations particulières (tel que le consentement explicite des personnes physiques concernées).

S’agissant des garanties appropriées, la DSB et la CNIL ont rappelé que les clauses contractuelles types sont nécessairement insuffisantes lorsque la législation du pays d’importation des données personnelles permet l’intrusion de ces autorités. Elles considèrent de concert que les mesures adoptées en l’espèce par Google pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données, comme le prévoit la législation américaine. En effet, le rapport de transparence de Google établit que le moteur de recherche est régulièrement destinataire de demandes de données (« data requests »). 

Aussi, les autorités de protection convergent-elles dans le refus de l’« approche fondée sur le risque », interprétation selon laquelle serait « légal » un transfert international de données s’il est prouvé que la probabilité que le gouvernement du pays destinataire accède aux données est minimale ou réduite en pratique. La CNIL, comme la DSB avant elle, confirme que la subsistance d’une possibilité de surveillance constitue un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées vers les États-Unis en violation du RGPD.

S’agissant des garanties supplémentaires susceptibles d’être mises en œuvre en l’absence de garanties appropriées, la CNIL, qui a épluché la liste de ces différentes mesures, relève que « ni la notification des utilisateurs (si celle-ci est possible), ni la publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales (« policy on handling government requests ») ne permet concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ». Idem pour le Parlement européen, qui n’a pas été en mesure de fournir une documentation, preuve ou autre information concernant des mesures contractuelles, techniques ou organisationnelles en place pour assurer le niveau de protection.

S’agissant des dérogations pour situations particulières, si le consentement explicite de la personne concernée permet de justifier le transfert de données, encore faut-il qu’elle soit informée des risques que ce transfert peut comporter pour elle. Or, la DSB a pu constater que l’éditeur en cause, loin d’établir que le consentement des personnes avait été recueilli, n’a pu produire aucune information relative à ces éléments qui serait transmise aux visiteurs du site. La CNIL enfonce le clou en relevant que « la société, loin d’établir qu’un tel consentement a été recueilli, ne met en avant aucune information relative à ces éléments qui serait transmise aux visiteurs du site web ».

En conséquence, les autorités nationales ont imposé aux gestionnaires de sites en cause de se conformer au RGPD et de suspendre l’utilisation de Google Analytics dans les conditions actuelles.

On rappellera que l’éditeur du site est responsable de traitement, puisqu’il détermine les moyens et les finalités de la collecte. En choisissant Google Analytics, il est donc responsable de la violation du RGPD. Il s’expose à une mise en demeure de l’autorité de contrôle, voire à une amende administrative dont le montant est susceptible de s’élever à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé étant retenu (RGPD, article 83, alinéa 5).

En attendant un éventuel accord entre l’Union européenne et les États-Unis, il faut anticiper une vague de contrôles sur les solutions induisant des transferts de données vers les États-Unis. Il est donc urgent de privilégier désormais des outils respectueux de la souveraineté numérique. Des solutions de mesures d’audience alternatives existent, sans doute moins performantes. Elles ont été approuvées par la CNIL, certaines permettant même de récupérer des données issues d’une utilisation antérieure de Google Analytics.

Quelques sanctions de la CNIL retiennent particulièrement l’attention :

• faille de sécurité portant sur des données sensibles : sanction de 1,5 million d’euros à l’encontre d’un éditeur de logiciels (délibération du 15 avril 2022 de la CNIL) ;

• prospection commerciale et droits des personnes : sanction de 1 million d’euros à l’encontre de TotalÉnergies (délibération du 23 juin 2022 de la CNIL ; communication) ;

• cookies : le Conseil d’État valide la sanction de 35 millions d’euros prononcée en 2020 par la CNIL contre Amazon (décision n° 451423 du Conseil d’État du 27 juin 2022).