Après l’adoption du Digital Markets Act, l’étau semble se resserrer autour des “gatekeepers” du web. Les gatekeepers, c’est le nom donné aux sociétés technologiques qui jouent le rôle d’intermédiaires gérant l’accès à l’information en ligne. Et aujourd’hui, c’est Google Analytics qui est dans la ligne de mire de la CNIL (Commission nationale de l’informatique et des libertés). Cette dernière s’est en effet récemment emparée de l’épineux sujet des transferts de données hors UE…
En juillet 2020, la décision d’adéquation de la Commission européenne validant le Privacy Shield a été annulée par la Cour de Justice de l’Union Européenne (CJUE) (arrêt dit « Schrems II »). Il ne constitue désormais plus une garantie juridique suffisante pour transmettre des données personnelles de l’Union européenne vers les États-Unis.
La CNIL a donc indirectement sommé le géant américain de se conformer au RGPD s’il souhaite que l’usage de son service Google Analytics reste autorisé sur le sol européen. Une position forte, qui pourrait être lourde de conséquences aux États-Unis comme en Europe… Mais qui serait aussi susceptible d’ouvrir la voie à des alternatives plus respectueuses de la vie privée des internautes ?
Dans cet article, nous vous proposons un décryptage des derniers évènements liés aux décisions de la CNIL, des conséquences et des perspectives pour les entreprises françaises.
La CNIL juge l’usage de Google Analytics illégal
Ces derniers mois, les internautes ont été plongés dans une version moderne et numérique de David contre Goliath !
Le 10 février 2022, la CNIL a mis en demeure un gestionnaire de sites web. Pourquoi ? En raison de son usage, jugé illégal, de Google Analytics. Selon la CNIL, le service d’analyse des audiences web n’était pas conforme aux réglementations européennes, et notamment au RGPD (Règlement général sur la protection des données, en vigueur depuis 2016).
Au-delà des implications pour le gestionnaire en question (qui a un mois pour se mettre en conformité s’il ne veut pas devoir s’acquitter d’une amende pouvant représenter 4 % de son CA annuel), cette décision a fait l’effet d’une bombe. En effet, elle pourrait potentiellement rendre l’usage de Google Analytics illégal pour toutes les entreprises européennes !
Le ras-de-bol des gatekeepers
Si elles sont déjà touchées par l’adoption grandissante du Web3, les plateformes numériques sont également la cible des législateurs européens. On peut ainsi se rappeler l’action menée par Noyb, une association autrichienne ayant lancé plusieurs procédures contre les géants technologiques américains. Cette dernière avait d’ailleurs saisi les autorités françaises il y a quelques mois, visant 101 sites dont l’usage de Google Analytics ou Facebook Connect lui semblait contraire aux mesures de protection des données européennes.
Le sujet en jeu aujourd’hui : le transfert de données d’internautes européens vers les Etats-Unis. Noyb, et désormais la CNIL, estiment en effet que les USA ne protègent pas suffisamment les données personnelles. De fait, la législation en vigueur autorise les autorités américaines à y accéder sans le consentement des premiers intéressés…
En ce qui concerne Google Analytics, les données collectées auprès d’un visiteur se voient attribuer un identifiant unique. C’est cet identifiant, transféré par Google aux Etats-Unis, qui ne serait pas suffisamment protégé selon la CNIL. Il y aurait donc, selon elle, un risque pour que les internautes naviguant sur un site faisant usage de Google Analytics voient leurs données exportées sans leur accord.
Transfer de données : Google peut (et doit) mieux faire
Le transfert de données entre une entité européenne et américaine n’est pas systématiquement illégal. Il doit cependant être encadré par des clauses contractuelles types, telles qu’elles sont émises par la Commission Européenne. Plus important : ces clauses doivent être correctement appliquées.
Or, c’est précisément sur cette notion que se positionne la CNIL. En effet, l’autorité française estime que les mesures de protection complémentaires adoptées par Google ne sont pas suffisantes. Elles ne permettent donc pas d’exclure le risque que les données d’internautes européens tombent entre les mains des renseignements américains. Plus concrètement, la simple modification du paramétrage des conditions de traitement de l’adresse IP n’est pas suffisante pour être en conformité avec le RGPD. La raison avancée par la CNIL : « cela n’apporte que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement du fait de la persistance du traitement de l’adresse IP par Google. »
Et bien sûr, la contre-attaque n’a pas tardé. Les détracteurs de cette décision n’ont pas manqué de souligner le flou autour de ces fameuses mesures additionnelles. Et donc, l’impossibilité pour les entreprises de s’assurer que les mécanismes mis en place soient bien conformes à la loi. En l’absence de lignes directrices fiables… difficile de se mettre en conformité !
La position de la CNIL est de plus dénoncée comme une forme de protectionnisme déguisé. En mai dernier, elle avait déjà exigé des établissements de l’enseignement supérieur de ne plus utiliser des outils américains. Elle avait là encore évoqué l’absence de réelle confidentialité des données. Cette nouvelle décision devrait encore une fois pousser les entreprises françaises (et européennes) à migrer vers des solutions locales.
CNIL et Google Analytics : quelles solutions pour éviter une guerre froide des données ?
Pour les acteurs européens qui souhaiteraient continuer d’utiliser Google Analytics, tout n’est pas perdu. En effet, l’utilisation d’un proxy permet de s’assurer de respecter les dispositions du RGPD et ainsi, de rester dans les bonnes grâces de la CNIL. Cette dernière recommande d’utiliser un serveur mandataire (proxy) pour rompre le contact direct entre le terminal de l’internaute et les serveurs de Google. L’idée est de garantir que l’ensemble des informations transmises ne rendre en aucun cas possible une réidentification. Dans son blog, la CNIL liste toutes les mesures nécessaires à la mise en place d’une proxyfication conforme. Cette méthode suppose néanmoins des garanties techniques complexes, notamment pour s’assurer que l’identification des internautes soit impossible. Et ce, de manière irréversible.
Une autre option à considérer est celle des futures licences qui seront accordées aux entreprises américaines par des entités françaises. Reprenant ce qu’avaient déjà fait Thales pour Google, et Orange pour Microsoft, ces licences devraient permettre de protéger les données des lois américaines… Même si les garanties offertes restent encore fragiles.
Perspectives sur l’avenir des données européennes
Le conflit engagé entre la CNIL et Google Analytics ne devrait pas en rester là. L’autorité française a en effet lancé d’autres mises en demeure auprès d’entreprises utilisant le service de Google, mais pas que… Son enquête pourrait s’étendre à d’autres outils donnant lieu à des transferts de données vers les États-Unis.
Les acteurs qui se trouvent dans cette situation sont également invités à se rapprocher de manière proactive de la CNIL. L’association française Interhop (qui développe des logiciels libres dans le domaine de l’e-santé) a déjà sollicité son aide pour s’assurer de sa conformité.
Se dirige-t-on vers une interdiction en bonne et due forme de Google Analytics sur le sol européen ? Selon le secrétaire d’Etat Cédric O, bien qu’il ait admis la complexité de la situation, il n’est pas question d’obliger les entreprises françaises à tourner définitivement le dos aux services américains, au nom notamment de la sacro-sainte liberté d’entreprendre.
Pour les plus sceptiques, ce n’est cependant qu’une question de temps…
A noter que la décision de la CNIL n’est pas la première au niveau européen : un mois avant la CNIL, l’autorité de la protection des données autrichienne avait rendu une première décision qui va dans le même sens que celle de l’autorité française.
Affaire à suivre !
Pour approfondir
- Présentation de l’arrêt de la CJUE
- Cookies : solutions pour les outils de mesure d’audience
- La procédure de mise en demeure
- Alternatives aux cookies tiers : quelles conséquences en matière de consentement ?
- Site web, cookies et autres traceurs
- Transférer des données hors de l’UE
- [EN] Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply
Ces articles devraient vous intéresser
Connect
Pour recevoir nos derniers articles sur la Data et l'Intelligence Artificielle, abonnez vous à Connect, l’email qui fait du bien à vos données.
Cet événement pourrait vous intéresser !
Participer à notre prochaine session « Cybersécurité et IA ». Tous les mois nous décortiquons en compagnie d’experts, une grande actualité sur le domaine de la cybersécurité.
Ne manquez pas notre prochaine session !
