Blog Données personnelles

La CNIL déclare Google Analytics contraire au règlement général sur la protection des données

1. Les conséquences de l’arrêt « Schrems II »

Le 16 juillet 2020, la Cour de justice de l’Union européenne invalidait la décision d’adéquation de la Commission européenne ayant approuvé le mécanisme transatlantique du «  Privacy Shield  ». Cet instrument, fruit d’importantes négociations, permettait jusqu’alors les transferts de données personnelles entres l’Union Européenne et les Etats-Unis sans garanties supplémentaires.

La Cour prescrivait alors, pour tout organisme souhaitant transférer des données hors de l’espace économique européen, deux obligations essentielles : l’évaluation par l’exportateur de données de la législation du pays de destination afin d’évaluer les modalités d’accès aux données par ses autorités ainsi que les garanties associées à un tel accès [1] ; l’ajout, si nécessaire, de «  mesures supplémentaires  » aptes à assurer un niveau de protection des données suffisant [2].

Par la suite, le Comité européen de la protection des données publiait ses recommandations devant préciser l’étendue des «  mesures supplémentaires  » appelées par l’arrêt Schrems II [3] . Il peut s’agir du chiffrement des données, à condition que le destinataire ne dispose pas de la clé de déchiffrement [4] , du cas où le destinataire ne dispose pas d’accès en clair aux données [5] , de certaines mesures de pseudonymisation [6]. ou de certains traitements fractionnés ou multipartites [7]. Le 4 juin 2021, la Commission Européenne adoptait les nouvelles clauses contractuelles types (« CCT » [8] qui intégraient alors la solution de l’arrêt Schrems II.

Jusqu’ à présent, les conséquences concrètes de l’arrêt Schrems II sur la légalité de la solution «  Google Analytics  » restaient incertaines. L’outil de mesure d’audience utilisé par des millions de sites internet, y compris institutionnels, implique en effet des transferts de données vers les serveurs de Google aux Etats-Unis.

2. La CNIL met en demeure un gestionnaire de site internet pour son utilisation de Google Analytics

Le 10 février 2022, après réception de plusieurs plaintes déposées par l’association NYOB, la Commission annonce une première mise en demeure d’un gestionnaire de site internet utilisant Google Analytics [9] .

Si la CNIL s’appuie sur le raisonnement de la CJUE dans l’affaire Schrems II, elle suit également l’approche adoptée le 13 janvier dernier par le «  Datenschutzbehörde  » («  DSB  »), son équivalent autrichien [10] . Elle indique s’inscrire dans la coopération entre autorités européennes, afin de « tirer collectivement les conséquences de l’arrêt Schrems II ».

Ainsi, la Commission relève que l’utilisation de Google Analytics entraine bien traitement de données à caractère personnel. La solution repose en effet sur l’attribution à chaque visiteur d’un «  identifiant unique  ». Elle note que cet identifiant ainsi que les données de fréquentation collectées par chaque site utilisateur sont bien exportées par Google vers ses serveurs aux Etats-Unis.

Par conséquent, la CNIL retient qu’en tant qu’exportateur de données personnelles vers un pays n’offrant pas un niveau de protection adéquat, le service de Google doit «  notamment  » présenter des «  mesures supplémentaires pour encadrer les transferts » afin «  d’exclure la possibilité d’accès des services de renseignement américains à ces données ».

Comme son homologue autrichienne, la CNIL note que les mesures adoptées à cet effet par Google ne sont pas suffisantes. En effet, la DSB autrichienne avait relevé que les clauses contractuelles types ainsi que les mesures supplémentaires mises en œuvre par Google ne suffisait pas à protéger les données transférées d’une interception [11] . Elle avait également souligné, ce que la CNIL semble admettre à son tour, que la fonctionnalité d’anonymisation de l’adresse IP proposée par Google Analytics n’était pas de nature à modifier ce constat [12] .

En présence d’un tel risque, la Commission considère que les données transférées le sont en violation des articles 44 et suivants du RGPD qui définissent les règles en matière de transferts en dehors de l’Union. L’opérateur de site internet, dont l’identité n’a pas été rendue publique est donc mis en demeure de faire cesser cette violation sous un mois.

La CNIL recommande donc de mettre fin à l’utilisation de Google Analytics «  dans les conditions actuelles  » de fonctionnement de la solution, de recourir à une solution de mesure d’audience exemptée de consentement au regard de l’article 82 de la loi informatique et liberté ou n’impliquant aucun «  transfert illégaux  » de données personnelles.

Notons que l’article 49(1) du RGPD permet, sans garanties appropriées, de procéder au transfert en ayant recours au consentement [13] . Néanmoins, poursuivre l’utilisation de Google Analytics dans ces conditions paraît emporter des risques juridiques importants. En effet, l’utilisation de Google Analytics étant un traitement réalisé à grande échelle, la régularisation de tels transferts à l’aide du consentement irait sans aucun doute à l’encontre des lignes directrices du Comité européen de la protection des données [14]. Le CEPD y insiste en effet sur la nécessité de préserver le caractère exceptionnel de cette dérogation [15] . Par ailleurs, il serait alors nécessaire de décrire aux internautes les opérations de traitement mise en œuvre par Google Analytics. Or, ces dernières ne sont à l’heure actuelle pas suffisamment connues.

Relevons également que l’annonce de la CNIL aura un apport juridique plus important que la décision de son homologue autrichienne. En effet, cette dernière portait sur des faits antérieurs à l’adoption des nouvelles clauses contractuelles types. Google avait également récemment changé sa désignation comme «  Google Ireland Limited  » en lieu et place de l’entité américaine « Google LLC » dans ses relations contractuelles avec les clients européens [16] . Par ailleurs, décision de la DSB contrairement à celle de CNIL, n’avait pas donné lieu à une mise en demeure, l’opérateur du site internet concerné ayant été entre temps racheté par une société de droit allemand [17] .

Comme l’indique la CNIL, d’autres mises en demeure d’opérateurs de sites utilisant Google Analytics devraient intervenir prochainement.

[1CJUE, grande chambre, 16 juillet 2020, affaire C-311/18, point 104.

[2CJUE, grande chambre, 16 juillet 2020, affaire C-311/18, point 131.

[3CEPD, Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, adoptées le 10 novembre 2020.

[4CEPD, recommandations 01/2020, point 85.

[5CEPD, recommandations 01/2020, point 79.

[6CEPD, recommandations 01/2020, point 80

[7CEPD, recommandations 01/2020, point 86.

[8Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.)

[9Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web, 10 février 2022, https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

[10Datenschutzbehörde (« DSB »), Affaire D155.027, 2021-0.586.257.

[11Foreign Intelligence Surveillance Act (« FISA »), section 702.

[12Datenschutzbehörde (« DSB »), Affaire D155.027, 2021-0.586.257, page 8.

[13Article 49(1) du Règlement (UE) 2016/679.

[14Comité Européen de la protection des données, lignes directrices sur les dérogations prévues par l’article 49 du règlement 2016/679

[15Ibid.

[16Conditions d’utilisation de Google Analytics, version française (FR), consulté le 10 février 2022. https://marketingplatform.google.com/about/analytics/terms/fr/

[17Datenschutzbehörde (« DSB »), Affaire D155.027, 2021-0.586.257, page 10.