DECRYPTAGE. Google Analytics fera-t-il l'objet d'une nouvelle affaire Schrems ?

Google Analytics est un service bien connu des professionnels spécialisés dans le référencement sur internet. Cet instrument permet aux propriétaires de sites web de suivre et d'analyser le trafic de leur site, les comportements des utilisateurs et de mesurer l'efficacité de leurs campagnes marketing en ligne. Ce service qui collecte des données sur des internautes européens est-il RGPD-compatible ? C’est la question à laquelle répond Nils Monnerie, docteur en droit.

Le modèle économique de Google Analytics est simple en apparence, avec un dispositif gratuit permettant d'analyser le trafic du site web, les comportements des utilisateurs, les objectifs et les conversions, ainsi que de générer des rapports visuels. S’adjoint un dispositif payant avec des fonctionnalités supplémentaires et une analyse affinée. Cependant, l’intérêt de cet outil est considérablement renforcé par son intégration dans l’architecture générale des services Google.

Ainsi, Google Analytics est étroitement intégré au service Google Ads, la régie publicitaire de Google. Les utilisateurs du service peuvent ainsi analyser de façon très fine la portée et la réussite de leur campagne publicitaire. Pour ce faire, Google a besoin de capter et de compulser les données sur le nombre de visiteurs qui accèdent à un site web, leur source de trafic (moteurs de recherche, réseaux sociaux, campagnes publicitaires, etc.) et les pages qu'ils consultent.

À ce titre, Google Analytics participe de l’écosystème de Google et notamment au maintien de sa position dominante sur le marché des données. L’outil fonctionne sur un système d’agrégation de données permettant de dégager des indicateurs fiables sur le comportement global des visiteurs du site. Il permet ainsi d’obtenir des informations précises sur le comportement des utilisateurs tout en offrant des stratégies publicitaires plus efficaces. Or, c’est bien là que le bât blesse ! Pour intégrer ces ressources à son écosystème, Google a besoin de transférer les données collectées auprès des utilisateurs européens vers les États-Unis.

Une asymétrie entre les dispositifs européens et américains

Rappelons que la question du transfert transnational de données d’utilisateurs européens est encadrée par le Règlement général sur la protection des données (RGPD) en son article 45. Cet article dispose que ces transferts sont parfaitement possibles sous deux conditions : d’une part, le traitement dont ils sont issus doit répondre des principes du Règlement et, d’autre part, le pays de destination doit disposer d’un niveau de protection au moins équivalent au Règlement lui-même. Les difficultés rencontrées par Google se nichent justement dans cette seconde condition et sur l’asymétrie existant entre les dispositifs européens et américains.

Cette problématique n’est pas nouvelle, loin de là. En 2015, une première affaire Schrems a été l’occasion pour la Cour de justice de l’Union européenne (CJUE) de déclarer que le Safe Harbor était inadéquat1. La Cour reprochait à la Commission européenne d’avoir validé cet accord bilatéral de transfert transatlantique de données personnelles alors que la législation américaine n’offrait pas suffisamment de garanties aux citoyens européens. Cette première décision a donné naissance au Privacy Shield, un texte qui a immédiatement prêté le flanc à la critique en ce qu’il ne tenait pas compte des préoccupations européennes. Ainsi, c’est sans grande surprise que l’affaire Schrems II a été le théâtre d’une nouvelle invalidation2.

Un risque pour le respect des droits fondamentaux

Les problèmes rencontrés par Google Analytics sont intrinsèquement liés au dernier acte de cette saga jurisprudentielle. En effet, un nouveau cadre juridique a été proposé par l’administration Biden afin d’encadrer le transfert transatlantique de données personnelles. Cette nouvelle mouture a rencontré de vives réserves du Parlement européen et du Comité de la Protection des données, mais aussi une franche opposition de la part de Noyb, l’association cofondée par Max Schrems. Ces contestations doivent être mises en relation avec l’adoption récente du Cloud Act. Ce texte reconnaît aux procureurs fédéraux, agissant dans le cadre d’une enquête pénale, le droit d’exiger la divulgation de l’ensemble des données d’une personne tant que la société responsable de leur traitement se trouve sur le territoire américain.

Aux yeux des autorités européennes, tout transfert de données personnelles européennes vers les États-Unis représente donc un risque pour le respect des droits fondamentaux. À l’aune de ces développements, il est facile de comprendre pourquoi les autorités nationales de plusieurs États membres en sont venues à déclarer que les transferts réalisés par Google Analytics ne présentaient pas le degré de protection attendu et ont mis la société en demeure de se conformer au RGPD3.

Quelles solutions ?

Trois solutions s’offrent alors à Google : d’abord la société pourrait, comme le recommande la CNIL, s’adapter de façon technique en mettant en place un dispositif de proxyfication. Il s’agit d’un processus permettant de recourir à un intermédiaire entre un utilisateur et les serveurs auxquels il souhaite accéder. Dit autrement, la proxyfication agit comme un « relai-étape » situé en Europe et dans lequel les données sont stockées pendant le traitement. Elles seront ensuite anonymisées avant d’être envoyées aux États-Unis. Cette solution permettrait à la société d'être conforme au RGPD sans attendre la décision de la Commission européenne. Cependant, compte tenu du flux de données, cela demanderait un dispositif très performant et coûteux. Le second choix serait d’arrêter de proposer ce service aux opérateurs traitant les données de citoyens européens ce qui impliquerait de se priver d’une part de marché substantielle. Le dernier choix conduirait Google à parier sur une décision favorable de la Commission européenne. Cependant, dans cette hypothèse, il est certain que Google Analytics serait alors le principal protagoniste d’une nouvelle procédure devant la CJUE.

Les sociétés européennes, pour leur part, doivent être conscientes que l’utilisation de Google Analytics pourrait prochainement être perturbée : changement de modèle économique ou hausse des coûts d’utilisation… ? Les prochains mois nous le diront.

1 CJUE, gde. ch., Schrems c. Data Protection Commissioner, aff. C-362/14, 6 oct. 2015.

2 CJUE, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland, C-311/18, 16 juill. 2020.

3 Not. CNIL, Mise en demeure anonymisée, 10 fev. 2022.