La décision de l’autorité homologue de la CNIL en Autriche de sanctionner l’usage de Google Analytics pourrait avoir des conséquences bien plus vastes. Le simple fait de travailler avec un acteur américain pourrait être, en soi, constitutif d’une violation du RGPD. En France, la CNIL vient d’ailleurs de mettre en cause l’utilisation de Google Analytics.
La décision de l’autorité autrichienne de protection des données personnelles (DSB) du 22 décembre 2021 [DSB (Austria), 22 décembre 2021, n°DSB 2021-0.586.257 (D155.027)] et celle du Contrôleur européen de la protection des données (CEPD) du 5 janvier 2022 [CEPD, 5 janvier 2022, Decision in complaint case 2020-1013 submitted by Members of the Parliament against the European Parliament] remettent à l’ordre du jour des entreprises la question sensible de la conformité au RGPD des transferts de données à caractère personnel vers les États-Unis.
On rappellera que l’invalidation du « Safe Harbor » par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015 [CJUE, 6 oct. 2015, aff. C-362/14, Maximillian Schrems c/ Digital Rights Ireland Ltd, préc.], suite à la plainte déposée par M. Schrems, a conduit les gouvernements des États membres et les institutions européennes à engager de nouvelles négociations avec les autorités américaines qui ont conduit au Privacy Shield. Cet accord – qui remplaçait le Safe Harbor – comprenait les principes du « bouclier de protection des données UE-EU » auxquels les entreprises devaient adhérer, ainsi que la « décision sur le caractère adéquat du niveau de protection » et les engagements écrits du gouvernement des États-Unis concernant la mise en oeuvre du dispositif (CE, déc. n° 2016/1250, 12 juillet 2016).
Cependant, considérant que le Privacy Shield n’offrait toujours pas de protection suffisante pour les données transférées vers les États-Unis, M. Schrems a renouvelé sa plainte. La CJUE, de nouveau saisie, a donc répondu à deux questions préjudicielles (CJUE, Schrems II, 16 juillet 2020).
La première question portait sur la validité de la décision CE 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers. La Haute Cour a répondu par l’affirmative, précisant cependant que la validité dépend des mécanismes effectifs permettant d’assurer un niveau de protection requis. Il s’agit en d’autres termes de vérifier au cas par cas les garanties, par exemple les clauses contractuelles types.
La seconde visait à savoir si la décision CE 2016/1250 relative à l’adéquation de la protection assurée par le Privacy Shield assure un niveau de protection adéquat. La réponse a été cette fois négative et la décision d’adéquation invalidée, ce qui a replacé les États-Unis dans la situation d’un pays pour lequel il n’existe pas de décision d’adéquation.
Forte de cette décision, et militant pour une interprétation « radicale » de l’arrêt Schrems II, l’ONG autrichienne dirigée par M. Schrems, None Of Your Business (NOYB), a déposé 101 plaintes dans presque tous les pays de l’UE, à l’encontre d’entreprises européennes travaillant avec Google et Facebook. L’ONG considère en effet que le simple fait de travailler avec un acteur américain est, en soi, constitutif d’une violation du RGPD.
Certaines de ces plaintes ont conduit le régulateur autrichien à considérer qu’un éditeur européen – allemand en l’occurrence – en utilisant Google Analytics, transmet des données de citoyens européens à Google, permettant ainsi au géant américain leur traitement en violation du RGPD.
Quelques jours plus tard, était de nouveau mise en cause l’utilisation de Google Analytics pour le site web interne de test Covid-19 du Parlement européen, celui-ci étant dans l’impossibilité de fournir au CEPD une documentation concernant les mesures mises en place pour garantir un niveau de protection équivalent pour les données personnelles transférées aux États-Unis.
La CNIL a quant à elle adopté une position plus nuancée que ses homologues. Si elle a émis un avis (mai 2021) invitant les organismes de l’enseignement supérieur et de la recherche à abandonner l’utilisation d’outils collaboratifs édités par des entreprises américaines et si elle admet que « dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation de ‘suites collaboratives pour l’éducation’ peuvent se produire », elle ne considère pas pour autant que les transferts sont avérés du seul fait de l’utilisation d’outils états-uniens.
Interpellée par l’association française Interhop, la CNIL se prononcera bientôt sur l’utilisation de Google Analytics par les entreprises spécialisées dans l’e santé. Cette saisine fait écho aux affaires Health data Hub [CE, ord. réf., 13 oct. 2020, n° 444937] et Doctolib [CE, ord. réf., 12 mars 2021, n° 450163] qui ont fait l’objet de deux arrêts du Conseil d’État, rendus à six mois d’intervalle, dans le contexte agité du Covid-19.
Dans la première affaire, la plateforme nationale Health Data Hub – créée par la Loi du 24 juillet 2019 relative à l’organisation et la transformation du système de santé – a remplacé le Système national de données de santé (SNDS) afin d’améliorer l’agglomération et l’utilisation des bases de données de santé publique. Elle utilise, pour son hébergement, la solution de cloud Azure éditée par la société américaine Microsoft. Sollicitée pour avis, la CNIL avait recommandé la suspension des transferts inhérents à l’hébergement de ces données de santé publique par Microsoft. Elle constatait un risque de surveillance des autorités américaines résultant des transferts résiduels de données vers les États-Unis intervenant, principalement, aux fins de gestion des incidents. Tel n’a pas été l’avis du Conseil d’État. Saisi en référé d’une plainte du Conseil National du Logiciel libre et d’autres acteurs issus du monde du logiciel libre, la Haute juridiction française a décidé de ne pas suspendre l’hébergement de ces données par Microsoft, notamment eu égard à l’importance des enjeux d’intérêt public légitimant ces traitements.
Dans l’affaire Doctolib, le Conseil d’État a été saisi d’une demande de plusieurs associations de suspendre le partenariat entre la plateforme de prise de rendez-vous médicaux en ligne et le ministère des Solidarités et de la Santé qui l’avait désignée pour gérer les prises de rendez-vous afférents à la campagne de vaccination contre la Covid-19. Les requérants dénonçaient un transfert de données illégal du fait du recours par la société Doctolib aux serveurs d’hébergement d’une filiale de la société américaine Amazon Web Services (AWS). Le Conseil d’État a considéré que les garanties, notamment contractuelles, apportées par Doctolib et son hébergeur étaient satisfaisantes et, constatant qu’il n’existait pas d’atteinte grave et manifestement illégale aux droits et libertés des personnes concernées en matière de protection de leurs données personnelles, a rejeté le recours.
Cependant, on notera que dans cette deuxième affaire, contrairement au contrat conclu entre le Health Data Hub et Microsoft Azure, le contrat conclu entre AWS et Doctolib ne prévoit pas de transferts de données aux États-Unis pour des raisons techniques. Par ailleurs, l’avenant à ce contrat stipule, conformément aux recommandations du Conseil d’État dans le cadre de l’affaire du Health data Hub, l’engagement pris par AWS de contester « toute demande générale [des autorités de surveillances américaines] ou ne respectant pas la règlementation européenne ».
Addendum
La CNIL vient de se prononcer sur l’utilisation de Google Analytics. Elle conclut que les transferts des données collectées via cet outil sont illégaux en l’absence de décision d’adéquation et de garanties appropriées, Google n’ayant pas pris de mesures suffisantes pour interdire aux services de renseignements américains d’accéder à ces données.
Nous reviendrons plus en détails sur cet avis important de la Cnil dans notre prochaine Tribune.
Pour lire La Tribune dans son contexte original.