Par Gérard Haas et Anne Charlotte Andrieux
Suite à la décision de l’autorité autrichienne de la protection des données (APD) relative au défaut de conformité de l’outil Google Analytics au Règlement UE 2016/679 sur la protection des données personnelles (RGPD), au tour de la Commission nationale de l'informatique et des libertés (CNIL) d’être saisie de la question suite à plusieurs plaintes de l’association NOYB.
A l’instar de l’APD, la CNIL estime que :
- ces transferts de données en dehors de l’Union Européenne induits par la solution interviennent en violation du RGPD
- en conséquence, qu’il apparait nécessaire de suspendre l’utilisation de Google Analytics dans les conditions actuelles.
Le constat est sans appel, le 10 février 2022 la CNIL a mis en demeure un gestionnaire de site internet français ayant recours à Google Analytics d’en cesser l’utilisation sous un mois, à raison des transferts de données en dehors de l’Union Européenne induits pas cette solution.
Une décision attendue
Cette décision constitue une actualité dans le positionnement de la CNIL, et s’inscrit à ce titre dans un contexte plus général.
Un encadrement renforcé des transferts de données en dehors de l’Union européenne
Depuis l’invalidation du Privacy Shield (bouclier de transfert de données UE/US) par la Cour de justice de l’Union européenne le 16 juillet 2020 (Arrêt dit « Shrems II »), les transferts de données vers les Etats-Unis nécessitent non seulement :
- la mise en place d’un outil de transfert de données (Chapitre V du RGPD), tel que des clauses contractuelles types entre l’entité exportatrice de données et l’entité importatrice de données. Des clauses contractuelles types ont été actualisées en ce sens par la Commission européenne le 4 juin 2021.
- l’adoption de mesures complémentaires recommandées par le CEPD. Les guidelines du CEPD expliquent toutefois qu’aucune mesure complémentaire ne permettrait la licéité du transfert de données dès lors que des données en clair sont transférées vers un pays qui n’offre pas un niveau de protection substantiellement équivalent au niveau de protection européen, tel que les Etats-Unis.
Un renforcement de la règlementation applicable aux cookies et une attention accrue de la CNIL
En septembre 2020, la CNIL a formulé des recommandations à destination des éditeurs de sites pour se mettre en conformité avec la règlementation applicable aux cookies.
S’en est suivie une vague de contrôles et diverses sanctions de la CNIL au cours de 2021. Très récemment, en janvier 2022, la CNIL a déjà sanctionné Google à hauteur de 150 millions d’euros en ce que google.fr ne permettait pas à l’utilisateur de refuser les cookies aussi facilement que de les accepter.
Face à ce constat, Google a annoncé réfléchir à une alternative aux cookies tiers.
Quelles conséquences pour les éditeurs de sites français ?
Si un certain flou juridique pouvait être invoqué jusqu’alors, la dernière décision de la CNIL ne fait guère place au doute : Google Analytics, dans ses fonctionnalités actuelles, n’est pas conforme à la règlementation et les éditeurs de sites français doivent en suspendre l’utilisation à brefs délais.
Qui plus est, les sanctions répétées des CNIL européennes, combinées à cette récente mise en demeure, laissent penser que les autorités de régulation entament une vague de contrôle plus globale sur l’ensemble des outils induisant des transferts de données vers les Etats-Unis tels que les outils de Cloud. A ce titre, un représentant de l’association NOYB estime que la mise en demeure de la CNIL présage de sanctions à l’égard d’autres outils comme les services cloud ou de paiement américains. Au surplus, Mark Zuckerberg a récemment menacé de fermer Meta (Facebook et Instagram) en Europe pour les raisons pointées du doigt par la CNIL.
Désormais, plus aucun site n’est à l’abri d’un contrôle à distance et inopiné de son site par la CNIL. Si le contrôle vient à révéler la présence de cookies Google Analytics (même en présence d’un bandeau de consentement « cookie consent ») l’éditeur du site s’expose à une mise en demeure de l’autorité de contrôle voire à une amende administrative dont le montant est susceptible de s’élever à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros[1].
De manière générale, la CNIL recommande que les outils d’Analytics servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La Commission annonce avoir lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
Un outil « incontournable » ?
L’outil de Google serait actuellement présent sur plus de 80 % des sites Web.
En l’absence de modifications substantielles des paramétrages de Google Analytics, force est de se résoudre au souverainisme technologique et de privilégier des outils européens.
Un certain nombre d’outils de mesures d’audience ont été approuvés par la CNIL et peuvent être retrouvés sur son site.
Vers une réponse de Google ?
Dans une annonce du 4 janvier 2022 Google Analytics a exprimé être conscient de l’inquiétude que peuvent avoir ses clients face aux transferts de données des utilisateurs entre l’Union Européenne et les Etats-Unis. Pour permettre l’utilisation de Google Analytics l’Union Européenne et les Etats-Unis devraient conclure un accord pour l’exploitation des données assure la firme américaine. En attendant, Google Analytics propose de mettre à disposition des gestionnaires de sites web des outils leur permettant de se mettre en conformité.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez-ici.
[1] Article 83.5c) du RGPD