Google Analytics est devenu illégal en Europe pour cause de RGPD et de transfert de données aux Etats-Unis. Quelles sont les conséquences ?
Google Analytics est une référence… et pour cause puisqu’au moins 80% des gestionnaires de sites web l’utilisent pour mesurer l’audience au moyen de données personnelles. Mais voilà que cet outil a été déclaré contraire à la réglementation générale sur la protection des données (RGPD) !
Un constat largement partagé par les autorités de contrôle européennes !
C’est l’autorité de contrôle autrichienne (la DSB) qui, la première, a constaté le défaut de conformité de Google Analytics au RGPD [DSB (Austria), 22 décembre 2021, n°DSB 2021-0.586.257 (D155.027)], dans le cadre de l’instruction de l’une des nombreuses plaintes déposées par None Of Your Business (NOYB), l’ONG autrichienne dirigée par M. Schrems, à l’encontre d’entreprises européennes travaillant avec Google et Facebook.
Quelques jours après, le Comité européen de la protection des données (CEPD – Organe européen indépendant, doté de la personnalité juridique, institué par le RGPD. Il a pour mission de veiller à la bonne application du Règlement) a publié une sanction à l’encontre du Parlement européen pour transferts illégaux de données entre l’Union européenne et les États-Unis [CEPD, 5 janvier 2022, Decision in complaint case 2020-1013 submitted by Members of the Parliament against the European Parliament]. C’était également l’utilisation de Google Analytics par le site web interne du Parlement de test Covid-19 qui posait problème.
La CNIL, relevant l’occasion de « tirer collectivement les conséquences de l’arrêt Schrems II » [CNIL, communiqué du 10 février 2022, décision anonymisée] a, à son tour, considéré que les transferts dus à l’utilisation de Google Analytics interviennent en violation du RGPD, justifiant la suspension de cette utilisation.
Une analyse commune
L’ensemble de ces procédures a permis d’établir que Google avait partiellement ignoré la décision Schrems II qui a annulé le Privacy Shield [CJUE, 16 juillet 2020, Data Protection Commissionner c/ Facebook Ireland Ltd et Maximillian Schrems – annulation du bouclier européen (décision d’adéquation)], bouclier garantissant la libre circulation des données à caractère personnel entre l’Union européenne et les États-Unis (voir « L’affaire Schrems n’en finit pas de faire des vagues », CIO 14 février 2022).
En effet, les données collectées par Google Analytics sont hébergées aux États-Unis et dès lors, l’utilisation de Google Analytics implique un transfert de données personnelles aux États-Unis.
Or, en l’absence de décision d’adéquation, la licéité du transfert s’apprécie au regard des garanties appropriées (telles que les clauses contractuelles types qui ont été établies par la Commission européenne) ou des garanties supplémentaires contractuelles, organisationnelles et techniques mises en place ou encore des dérogations pour situations particulières (tel que le consentement explicite des personnes physiques concernées).
S’agissant des garanties appropriées, la DSB et la CNIL rappellent que les clauses contractuelles types sont nécessairement insuffisantes lorsque la législation du pays d’importation des données personnelles permet l’intrusion de ces autorités. Elles considèrent de concert que les mesures adoptées en l’espèce par Google pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données, comme le prévoit la législation américaine [En application de certaines lois américaines comme le Cloud Act ou encore le Foreign Intelligence Surveillance Act (FISA)]. En effet, le rapport de transparence de Google établit que le moteur de recherche est régulièrement destinataire de demandes de données (« data requests »). Aussi, les autorités de protection convergent-elles dans le refus de l’« approche fondée sur le risque », interprétation selon laquelle serait « légal » un transfert international de données s’il est prouvé que la probabilité que le gouvernement du pays destinataire accède aux données est minimale ou réduite en pratique. La CNIL, comme la DSB avant elle, confirme que la subsistance d’une possibilité de surveillance constitue un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées vers les États-Unis en violation du RGPD.
S’agissant des garanties supplémentaires susceptibles d’être mises en oeuvre en l’absence de garanties appropriées, la CNIL, qui a épluché la liste de ces différentes mesures, relève que « ni la notification des utilisateurs (si celle-ci est possible) ni la publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales (« policy on handling government requests ») ne permet concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ». Idem pour le Parlement européen, qui n’a pas été en mesure de fournir une documentation, preuve ou autre information concernant des mesures contractuelles, techniques ou organisationnelles en place pour assurer le niveau de protection.
S’agissant des dérogations pour situations particulières, si le consentement explicite de la personne concernée permet de justifier le transfert de données, encore faut-il qu’elle soit informée des risques que ce transfert peut comporter pour elle. Or la DSB a pu constater que l’éditeur en cause, loin d’établir que le consentement des personnes avait été recueilli, n’a pu produire aucune information relative à ces éléments qui serait transmise aux visiteurs du site. La CNIL enfonce le clou en relevant que « la société, loin d’établir qu’un tel consentement a été recueilli, ne met en avant aucune information relative à ces éléments qui serait transmise aux visiteurs du site web ».
En conséquence, les autorités nationales imposent aux gestionnaires de sites en cause de se conformer au RGPD et de suspendre l’utilisation de Google Analytics dans les conditions actuelles.
Et maintenant ?
On rappellera que l’éditeur du site est responsable de traitement, puisqu’il détermine les moyens et les finalités de la collecte. En choisissant Google Analytics, il est donc responsable de la violation du RGPD. Il s’expose à une mise en demeure de l’autorité de contrôle, voire à une amende administrative dont le montant est susceptible de s’élever à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé étant retenu [RGPD, article 83, alinéa 5].
En attendant un éventuel accord entre l’Union européenne et les États-Unis, il faut anticiper une vague de contrôles sur les solutions induisant des transferts de données vers les États-Unis. Il est donc urgent de privilégier désormais des outils respectueux de la souveraineté numérique. Des solutions de mesures d’audience alternatives existent, sans doute moins performantes. Elles ont été approuvées par la CNIL, certaines permettant même de récupérer des données issues d’une utilisation antérieure de Google Analytics.
