Saisie de plaintes de l’association NOYB (None Of Your Business) de l’activiste autrichien Max Schrems, à l’origine des arrêts de la Cour de Justice de l’Union Européenne Shrems I et II invalidant respectivement le Safe Harbour et le Privacy Shield autorisant le transfert de données à caractère personnel de l’Europe vers les USA, la CNIL estime que Google Analytics présente un risque pour les utilisateurs français de site web collectant grâce à cet outil leurs données.
Dans son chapitre 5 intitulé : “Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales”, le RGPD vise à réguler toutes les transmissions de données vers des pays hors Union Européenne.
Plus précisément encore, l’article 44 dispose qu’ : “Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.”
En d’autres termes, cela signifie que les données ne bénéficient pas des mêmes formalités préalables quand elles transitent au sein de l’espace européen ou en dehors de celui-ci. Cela s’explique en grande partie par la priorité donnée par les instances européennes à la régulation des géants du numérique dits GAMAM (Google, Amazon, Meta (ex-Facebook), Apple et Microsoft).
Dans l’affaire présentée ici, c’est Google qui, indirectement, était dans le collimateur de la Commission Nationale Informatique et Liberté. Cette dernière avait annoncé avoir mis en demeure, (par le biais d’un communiqué de presse le 10 février 2022) un gestionnaire de site internet français en raison de son utilisation du service Google Analytics, après avoir reçu plusieurs plaintes.
Google Analytics, fonctionnalité de mesure d’audience développée par Google, est une solution permettant de comptabiliser les différents flux d’affluence sur les sites internet. Elle permet de comprendre les comportements des utilisateurs sur le web à travers différentes mesures d’analyse et peut être intégrée par les gestionnaires de sites web notamment de vente en ligne pour suivre la fréquentation des sites.
Ce qui posait problème à la CNIL en l’espèce, n’était pas tant l’utilisation de Google Analytics que le traitement de la donnée collectée par le responsable de traitement via cet outil. En effet, il a été prouvé qu’une fois les données recueillies via la solution Google Analytics, celles-ci sont envoyées outre-Atlantique et ne sont de fait plus couvertes par les règles européennes et françaises de protection des données à caractère personnel. Le responsable de traitement (l’entreprise française) n’assurait donc pas son obligation de protection vis-à-vis de son utilisateur (obligation légale conformément au droit français résultant d’une directive européenne).
Plus globalement, cette mise en demeure fait écho à de nombreuses autres actions entreprises par la CNIL à cet égard. Cela permet donc d’interroger le sort des données nominatives échangées entre les deux puissances mondiales notamment sous le prisme de la vie privée des utilisateurs de l’application.
Cette décision de la CNIL n’est pas sans rappeler une autre affaire médiatique : l’arrêt Schrems II de la Cour de Justice de l’Union Européenne du 16 juillet 2020, affaire également portée par l’activiste Max Schrems fondateur de l’association NOYB à l’origine des plaintes auprès de la CNIL dans notre affaire. Dans cette affaire, la CJUE s’était déjà prononcée en défaveur du transit de données à caractère personnel entre l’Europe et les États-Unis si celui-ci ne se conformaient pas aux dispositions du RGPD, ce qui avait conduit à invalider le Privacy Shield.
On le sait depuis cet arrêt, toutes les données transférées hors Union Européenne doivent respecter le principe d’adéquation (article 45 du RGPD). Les garanties appropriées de l’article 46 du RGPD se doivent d’être appliquées. Ce qui n’est pas le cas ici.
Les données collectées ne répondant pas au niveau de protection demandé en droit de l’Union (qui exige a minima une confidentialité des données), elles ne peuvent de ce fait se voir exemptées par l’article 49 du RGPD en vertu d’un certain rééquilibrage contractuel si ni l’adéquation (article 45) ni les garanties appropriés ne peuvent être réunies.
Or dans ces arrêts, les clauses contractuelles types n’ont pas été invalidées. Plus encore, il a été admis qu’elles étaient conformes à celles publiées par la Commission européenne. Néanmoins elles ne lient pas pour autant les autorités des pays tiers ; ce qui est le cas pour les États-Unis, pays ne répondant pas aux exigences européennes de confidentialité en la matière.
Le risque étant que les services de renseignements américains puissent avoir accès aux données collectés par les opérateurs européens par l’intermédiaire de Google et que le sort des ces données personnelles sensibles ne soient plus en conformité avec l’obligation de sécurisation découlant de la législation européenne.
De prime abord, cela pourrait remettre en cause toute l’organisation et le fonctionnement de ces entreprises. Il convient donc d’engager une réflexion sur les axes d’amélioration pouvant être mis en place afin de ne pas pénaliser les entreprises utilisant la solution de mesure d’audience dominante sur le marché.
Un premier axe pourrait être d’anonymiser réellement les données afin que celles-ci ne servent qu’à des fins statistiques et non pour identifier le comportement des utilisateurs notamment à partir du moment où ces données quittent l’espace européen via le prestataire de services.
Le deuxième axe de réflexion pourrait être de choisir une alternative qui ne permet pas le transfert de données hors union Européenne. Cela conduirait, pour les entreprises, à nécessairement remettre en cause leur mode d’organisation interne tant Google est d’usage important à raison de sa position sur le marché numérique. Ce qui est difficilement envisageable dans l’état actuel des choses mais qui conduirait à coup sûr à renforcer la sécurité publique ainsi que de faciliter la mise en conformité aux dispositions européennes pour ces entreprises.
La mise en demeure induit donc pour les entreprises concernées de s’inscrire dans une démarche de recherche d’alternatives à l’utilisation de Google Analytics dans la mesure où la CNIL considère que les entreprises européennes doivent cesser d’utiliser Google Analytics tant que ce dernier ne garantit pas une gestion des données se conformant aux mesures de sécurité voulues par l’Union européenne.
Le non-respect de cette obligation pouvant conduire le gestionnaire du site web responsable de l’infraction pénale à une amende pouvant aller jusqu’à 4% de son chiffre d’affaires mondial.
Reste enfin l’attente pour les entreprises que les instances européennes parviennent à un nouvel accord avec les Etats-Unis sur un “Privacy Shield 2” pour davantage de sécurité juridique et de protection de la vie privée des utilisateurs.
Cela semble malgré tout une gageure tant la procédure semble longue à être mise en place.
Outre les violations du secret professionnel, les réclamations concernant la transposition se sont même portées jusque devant le Conseil Constitutionnel qui, par une décision du 12 juin 2018 (2018-765 DC), a validé la loi française transposant la directive.
Une réécriture de la loi, afin de préserver et sécuriser les données exportées hors de l’Union Européenne, conduirait à une nouvelle saisine de la plus Haute autorité administrative française, sans pour autant présager de la même solution.
Un nouveau débat loin d’être à date tranché.
A suivre donc…
Par Marc Maloisel et Cynthia Picart
20/05/22