Google
Analytics a été déclaré contraire à la règlementation générale sur la
protection des données à caractère personnel.
C’est
la DSB (pour Datenschutzbehörde), l’autorité de contrôle autrichienne, qui, la
première, a constaté le défaut de conformité de Google Analytics au Règlement
général sur la protection des données (RGPD), dans le cadre de l’instruction de
l’une des nombreuses plaintes déposées par None Of Your Business (NOYB), l’ONG
autrichienne dirigée par monsieur Schrems, à l’encontre d’entreprises
européennes travaillant avec Google et Facebook.
Quelques
jours après, le Comité européen de la protection des données (CEPD) a publié
une sanction à l’encontre du Parlement européen pour transferts illégaux de
données entre l’Union européenne et les États-Unis. C’était également
l’utilisation de Google Analytics par le site web interne du Parlement de test
Covid-19 qui posait problème.
La
Commission nationale de l’informatique et des libertés (CNIL), relevant
l’occasion de « tirer collectivement les conséquences de l’arrêt Schrems II »
a, à son tour, considéré que les transferts dus à l’utilisation de Google
Analytics interviennent en violation du RGPD, justifiant la suspension de cette
utilisation.
L’ensemble
de ces procédures a permis d’établir que Google avait partiellement ignoré la
décision Schrems II qui a annulé le Privacy Shield bouclier garantissant la
libre circulation des données à caractère personnel entre l’Union européenne et
les États-Unis.
En
effet, les données collectées par Google Analytics sont hébergées aux
États-Unis et dès lors, l’utilisation de Google Analytics implique un transfert
de données personnelles aux États-Unis. Or, en l’absence de décision
d’adéquation, la licéité du transfert s’apprécie au regard des garanties
appropriées (telles que les clauses contractuelles types qui ont été établies
par la Commission européenne) ou des garanties supplémentaires contractuelles,
organisationnelles et techniques mises en place, ou encore des dérogations pour
situations particulières (tel que le consentement explicite des personnes physiques
concernées).
Les
mesures prises par Google jugées insuffisantes
S’agissant
des garanties appropriées, la DSB et la CNIL ont rappelé que les clauses
contractuelles types sont nécessairement insuffisantes lorsque la législation
du pays d’importation des données personnelles permet l’intrusion de ces autorités.
Elles considèrent de concert que les mesures adoptées en l’espèce par Google
pour encadrer les transferts de données dans le cadre de la fonctionnalité
Google Analytics ne suffisent pas à exclure la possibilité d’accès des services
de renseignements américains à ces données, comme le prévoit la législation
américaine. En effet, le rapport de transparence de Google établit que le
moteur de recherche est régulièrement destinataire de demandes de données («
data requests »).
Aussi, les autorités de protection convergent-elles dans le
refus de l’« approche fondée sur le risque », interprétation selon laquelle
serait « légal » un transfert international de données s’il est prouvé que la
probabilité que le gouvernement du pays destinataire accède aux données est
minimale ou réduite en pratique. La CNIL, comme la DSB avant elle, confirme que
la subsistance d’une possibilité de surveillance constitue un risque pour les
personnes utilisatrices du site français ayant recours à cet outil et dont les
données sont exportées vers les États-Unis en violation du RGPD.
S’agissant
des garanties supplémentaires susceptibles d’être mises en œuvre en l’absence
de garanties appropriées, la CNIL, qui a épluché la liste de ces différentes
mesures, relève que « ni la notification des utilisateurs (si celle-ci est
possible), ni la publication d’un rapport de transparence ou d’une politique de
gestion des demandes d’accès gouvernementales (« policy on handling government
requests ») ne permet concrètement d’empêcher ou de réduire l’accès des
services de renseignement américains ». Idem pour le Parlement européen, qui
n’a pas été en mesure de fournir une documentation, preuve ou autre information
concernant des mesures contractuelles, techniques ou organisationnelles en
place pour assurer le niveau de protection.
S’agissant
des dérogations pour situations particulières, si le consentement explicite de
la personne concernée permet de justifier le transfert de données, encore
faut-il qu’elle soit informée des risques que ce transfert peut comporter pour
elle. Or, la DSB a pu constater que l’éditeur en cause, loin d’établir que le
consentement des personnes avait été recueilli, n’a pu produire aucune
information relative à ces éléments qui serait transmise aux visiteurs du site.
La CNIL enfonce le clou en relevant que « la société, loin d’établir qu’un tel
consentement a été recueilli, ne met en avant aucune information relative à ces
éléments qui serait transmise aux visiteurs du site web ».
En
conséquence, les autorités nationales ont imposé aux gestionnaires de sites en
cause de se conformer au RGPD et de suspendre l’utilisation de Google Analytics
dans les conditions actuelles.
On
rappellera que l’éditeur du site est responsable de traitement, puisqu’il
détermine les moyens et les finalités de la collecte. En choisissant Google
Analytics, il est donc responsable de la violation du RGPD. Il s’expose à une
mise en demeure de l’autorité de contrôle, voire à une amende administrative
dont le montant est susceptible de s’élever à 4 % du chiffre d’affaires annuel
mondial ou 20 millions d’euros, le montant le plus élevé étant retenu (RGPD,
article 83, alinéa 5).
En
attendant un éventuel accord entre l’Union européenne et les États-Unis, il
faut anticiper une vague de contrôles sur les solutions induisant des
transferts de données vers les États-Unis. Il est donc urgent de privilégier
désormais des outils respectueux de la souveraineté numérique. Des solutions de
mesures d’audience alternatives existent, sans doute moins performantes. Elles
ont été approuvées par la CNIL, certaines permettant même de récupérer des
données issues d’une utilisation antérieure de Google Analytics.
Quelques
sanctions de la CNIL retiennent particulièrement l’attention :
•
faille de sécurité portant sur des données sensibles : sanction de 1,5 million
d’euros à l’encontre d’un éditeur de logiciels (délibération du 15 avril 2022
de la CNIL) ;
•
prospection commerciale et droits des personnes : sanction de 1 million d’euros
à l’encontre de TotalÉnergies (délibération du 23 juin 2022 de la CNIL ;
communication) ;
•
cookies : le Conseil d’État valide la sanction de 35 millions d’euros prononcée
en 2020 par la CNIL contre Amazon (décision n° 451423 du Conseil d’État du 27
juin 2022).