Blog Données personnelles
Alors que la CNIL aurait mis en demeure deux nouveaux opérateurs de sites web en France, Google présente les contours d’Analytics 4
Le 10 février dernier, prenant la suite de son homologue autrichienne (« DSB »), la CNIL déclarait avec fracas que l’utilisation par un site web de l’outil de mesure d’audience « Google Analytics » était contraire au RGPD. Sollicitée par l’association NOYB (« None Of Your Bussiness ») et tirant les conséquences de l’arrêt rendu par la CJUE le 16 juillet 2020 dans l’affaire « Schrems II », la Commission estimait que Google n’avait pas mis en place un encadrement suffisant de ses transferts de données vers ses serveurs américains. Plus récemment et selon les informations relayées par Nextimpact.com, deux autres mises en demeure auraient été prononcées en France.
La première mise en demeure de la CNIL, communiquée à un responsable de traitement dont l’identité n’a pas à ce jour été révélée, impliquait que l’utilisation de Google Analytics, « dans les conditions actuelles » était illégale. En effet, l’emploi d’Analytics serait contraire aux articles 44 et suivants du RGPD concernant les transferts de données en dehors de l’UE. Par la même, la Commission plaçait les innombrables utilisateurs de la très populaire mesure d’audience dans une situation d’incertitude juridique : fallait-il d’ores et déjà basculer vers un outil concurrent ?
C’est dans ce cadre qu’est intervenue le 16 mars dernier, l’annonce de Google relative à la mise en place de « Google Analytics 4 », la version concernée par la décision de non-conformité de la CNIL (« Universal Analytics ») devant quant à elle être totalement abandonnée dès juillet 2023. L’intérêt de cette annonce réside essentiellement dans une des modifications annoncées par Google à son outil de mesure d’audience. Dans sa décision du 10 février 2022, la CNIL avait soulevé la problématique du transfert sur des serveurs situés aux Etats-Unis des adresses IP des internautes tracés par Google Analytics [1] . En effet, la présence de cette information en clair offrirait aux agences de renseignement américaines la possibilité de ré-identifier les personnes. Google, se prévalant de « mesures d’anonymisation » visant l’adresse IP, n’avait pas été en mesure de démontrer l’efficacité ou l’étendue de ces dernières. Par ailleurs, la CNIL relevait qu’il lui avait été impossible de s’assurer que cette anonymisation se produisait bien à priori et non après transfert effectif de la donnée aux Etats-Unis [2] . Par conséquent, Google ne pouvait démontrer l’existence de « mesures supplémentaires » de nature à assurer un niveau de protection des données personnelles suffisant au regard de l’article 46 du RGPD [3] .
Dans son annonce du 16 mars 2022, Google met justement en avant la suppression de l’adresse IP des données stockées par la nouvelle version de son outil de mesure d’audience. La société prend surtout la peine de préciser qu’il s’agit d’une mesure inspirée par le « contexte international en matière de protection de la vie privée » [4] . Si la mise à jour d’Analytics était prévue de longue date, son déploiement ne devait pas intervenir rapidement.
Il est néanmoins difficile d’affirmer si Google Analytics 4 aura davantage les faveurs de la CNIL. Dans sa délibération, la Commission ne s’attarde pas uniquement sur les transfert d’adresses IP aux Etats-Unis. En effet, elle y relève les insuffisances d’autres mesures techniques ou organisationnelles devant permettre de « prévenir ou réduire les possibilités d’accès des services de renseignement américains » [5]. Il s’agit des mesures de pseudonymisation des données remises à Google par les gestionnaires de sites web, mais également des techniques de chiffrement que la firme de Mountain View aurait déployées [6] .
D’autre part, l’objectif que ces mesures devraient atteindre paraît en lui-même incertain. La CNIL parle bien de mesures devant « prévenir ou réduire » les possibilités d’accès par le renseignement américain. Pourtant, dans la même délibération, elle souligne que dans le cas de Google Analytics, ces dernières échouent à « empêcher » ou à rendre « ineffectif » ce même accès [7] tout en précisant que selon la CJUE, aucune demande d’accès émanant du renseignement américain ne peut être licite [8] . Google devrait selon toute vraisemblance démontrer qu’Analytics 4 n’implique plus aucune possibilité, même virtuelle, d’accès à des données personnelles transférées aux Etats-Unis.
[1] Mise en demeure (anonymisée) de la CNIL en lien avec l’utilisation de Google Analytics, page 4.
[2] Ibid. Page 9.
[3] Arrêt de la Cour (grande chambre) du 16 juillet 2020, affaire C‑311/18, point 133.
[5] Mise en demeure (anonymisée) de la CNIL en lien avec l’utilisation de Google Analytics, page 9.
[6] Ibid.
[7] Ibid : « En effet, aucune d’entre elles n’empêche les services de renseignement américains d’accéder aux données en cause ou ne rendent cet accès ineffectif ».
[8] Mise en demeure (anonymisée) de la CNIL en lien avec l’utilisation de Google Analytics, page 8.