Pour comprendre la dimension juridique de la décision de la CNIL à l’encontre de Google Analytics, nous avons demandé à Merav Griguer, avocate associée du cabinet Bird & Bird, d’intervenir lors de notre webinar.

« La décision de la CNIL est justifiée, et elle vise directement Google Analytics. » (Merav Griguer, avocate associée du cabinet Bird & Bird)

Dans le prolongement de la décision de la Cour de justice de l’Union européenne d’invalider le Privacy Shield américain (un mécanisme encadrant le transfert de données de l’UE vers les États-Unis) en 2020, la CNIL vient de déclarer que Google Analytics présente un niveau de protection insuffisant pour le transfert de données européennes à caractère personnel qui entrent dans le cadre du RGPD.

Voyons en quoi Google Analytics ne respecte pas les dispositions prévues par le RGPD, puis posons le contexte de la décision de la CNIL.

Une mauvaise interprétation de la définition énoncée par le RGPD des données à caractère personnel

Google s’écarte de la définition du RGPD en ce qu’il ne considère pas les éléments suivants comme des données à caractère personnel :

• Identifiants de cookies pseudonymes
• Identifiants publicitaires pseudonymes
• Adresses IP
• Autres identifiants utilisateur pseudonymes

En d’autres termes, une adresse IP envoyée avec une demande d’annonce (ce qui concerne la quasi-totalité des demandes d’annonce) n’est pas officiellement considérée comme un envoi de données à caractère personnel au sens du RGPD.

Le RGPD précise également que « les données à caractère personnel doivent être […] traitées de manière licite, loyale et transparente au regard de la personne concernée » (article 5). Par conséquent, tous les éditeurs de sites web et d’applications qui recueillent des données à caractère personnel doivent définir précisément comment celles-ci sont collectées et utilisées.

Or, Google Analytics ne précise ni le mode de collecte ni l’usage qu’il fait de ses données. Sur la page Aide Google Analytics, il est indiqué que les « données d’utilisation » (soit les catégories ci-dessus) ne constituent pas des « informations personnelles ». Les autorités de contrôle de la protection des données soulignent donc expressément que les données traitées avec Google Analytics (données d’utilisation et autres données propres à l’appareil qui peuvent être rattachées à un utilisateur précis) représentent des données à caractère personnel telles qu’elles sont définies par le RGPD.

Non-respect des exigences relatives au stockage des données et à leur transfert entre l’UE et les États-Unis

Le transfert de données de l’UE vers les États-Unis est soumis à des conditions strictes : mettre en œuvre les garanties appropriées (clauses contractuelles types, règles d’entreprise contraignantes), prévoir des mesures techniques supplémentaires (pseudonymisation, chiffrement), offrir une transparence totale sur l’accès aux données, renforcer la procédure d’audit de l’importateur ou encore appliquer des politiques rigoureuses en matière de sécurité et de confidentialité (certifications et code de conduite de l’UE, norme ISO).

Il apparaît que Google ne communique pas clairement sur l’endroit où sont stockées ses données. En vertu du RGPD, la transmission de données à caractère personnel dans des pays non européens est possible, moyennant la mise en place de garde-fous adaptés (niveau de protection adéquat dans le pays concerné, information vis-à-vis des utilisateurs et respect de leurs droits).

Cependant :

• Google indique sur son site que ses centres de données sont répartis dans le monde entier.
• Il ne garantit pas non plus que les données européennes restent stockées dans l’UE.
• Selon la CNIL, il existe un risque que les services de renseignement américains puissent accéder à des données personnelles transmises aux États-Unis si les transferts ne sont pas correctement réglementés.

Le contexte de la décision de la CNIL

La décision de la CNIL établit en substance que Google Analytics et Facebook Connect ne respectent pas les exigences ci-dessus, et de ce fait ne sont pas conformes au RGPD. Il n’est donc fait référence qu’à ces deux fournisseurs et à aucune autre société établie aux États-Unis ou ailleurs. La décision se fonde sur les 101 plaintes types déposées par noyb (site web géré par Max Shrems, activiste autrichien militant pour la protection des données) et renvoie à l’affaire « Schrems II » de 2020, qui conclut que le transfert de données vers les États-Unis est contraire au RGPD.

Les autorités de protection des données de plusieurs pays européens se sont jointes à la CNIL en statuant que Google Analytics enfreint le RGPD :

• Autriche : la DSB a rendu une décision similaire en janvier 2022, précédant ainsi la CNIL.
• Pays-Bas : l’AP a déclaré que Google Analytics pourrait bientôt ne plus être autorisé.
• Portugal : la CNPD a suspendu les transferts de données vers les États-Unis.
• Norvège : la Datatilsynet est en train d’étudier la possibilité de ne plus utiliser Google Analytics.
• Le Contrôleur européen de la protection des données a interpellé le Parlement européen au sujet du recours à Google Analytics.

Quelles sont les sanctions et les solutions potentielles ?

Les entreprises qui continuent d’exploiter Google Analytics doivent prendre des mesures rapidement, sous peine de se voir infliger des sanctions pour violation du RGPD. À la réception d’une mise en demeure adressée au gestionnaire du site web (responsable du traitement des données), les utilisateurs de Google Analytics sont tenus de mettre immédiatement leur processus analytics en conformité avec le RGPD ou de cesser de se servir de l’outil dans sa version actuelle.

Des procédures de mise en demeure ont été engagées à l’encontre de gestionnaires de sites utilisant Google Analytics, et notamment le cloud et le transfert de données vers des pays hors UE qui n’offrent pas un niveau de protection adéquat. Visant spécifiquement les États-Unis, la CNIL a déclaré ce qui suit :

• Le transfert extraterritorial de données vers les États-Unis ne s’accompagne pas de garanties suffisantes, principalement en raison de l’accès possible des autorités américaines à des données européennes à caractère personnel.
• Les clauses contractuelles types de Google régissant les transferts ne sont pas jugées suffisantes.
• Le chiffrement des données effectué par Google est insuffisant, tandis que les adresses IP ne sont pas anonymisées avant leur transfert aux États-Unis.

Les entreprises qui utilisent actuellement Google Analytics disposent de plusieurs solutions pour continuer à collecter et à traiter les données de leurs utilisateurs en conformité avec le RGPD. Tout d’abord, un nouveau Privacy Shield entre l’UE et les États-Unis pourrait voir le jour prochainement, mais les entreprises risquent toujours des amendes pour leurs pratiques antérieures. Une autre façon de procéder serait d’obtenir le consentement exprès des utilisateurs pour les transferts de données. Cependant, cela ne s’appliquerait qu’à des « circonstances exceptionnelles » et à des « transferts occasionnels » dans le cadre du RGPD. Selon Merav Griguer, une telle solution serait par ailleurs « impossible » à mettre en place.

Les entreprises peuvent également choisir d’attendre d’éventuelles mesures correctives de la part de Google Analytics ou bien un possible appel de la décision de la CNIL. Tout cela risque néanmoins de prendre bien plus longtemps que le délai d’un mois accordé pour cesser d’utiliser Google Analytics.

La réponse la plus viable consiste peut-être pour les entreprises à choisir une solution analytics conforme au RGPD. Il en existe plusieurs sur le marché qui ont déjà été évaluées par la CNIL. AT Internet est la première à avoir reçu l’agrément de la CNIL. Elle est toujours considérée comme conforme au RGPD depuis la fusion de Piano avec AT Internet en 2021.

Comment s’assurer de la conformité de ses données en passant par d’autres fournisseurs

Le responsable tracking du journal en ligne Ouest-France, Vincent Lahaye, explique en pratique comment gérer au mieux la gouvernance des données et se servir d’un outil analytics dans le respect du RGPD.

Anticipant les risques potentiels du recours à Google Analytics (notamment en ce qui concerne la confidentialité des données et la perte de données liée à la nécessité d’obtenir le consentement des utilisateurs), les responsables de Ouest-France ont envisagé, en collaboration avec leur délégué à la protection des données, une série de solutions de substitution. Après avoir évalué les répercussions d’une migration de Google Analytics 3 à Google Analytics 4 en matière de protection des données personnelles, le quotidien a finalement entrepris de déployer Piano Analytics.

La Mesure Hybride de Piano Analytics lui a évité une perte de données due au refus des cookies, et ce, dans le respect du RGPD. Ouest-France s’est également appuyé sur la dispense de consentement aux cookies de AT Internet, approuvée par la CNIL. Cela lui a permis de s’affranchir de la nécessité de recueillir le consentement pour les mesures d’audience simples et ainsi de se prémunir contre la perte de 50 % du trafic utilisateur. Le journal est à même, grâce à cette exemption, de collecter des données fiables, complètes et « strictement nécessaires » dès la première page consultée par l’utilisateur.

Piano Analytics étant conforme au RGPD et reconnu officiellement par la CNIL, Ouest-France s’assure par ailleurs une solide protection contre les deux principaux risques liés à l’utilisation de Google Analytics : une amende pour violation du RGPD et le préjudice causé à plus long terme à la réputation de la marque.

Interrogé sur la nécessité de migrer vers une autre solution analytics, Vincent Lahaye a affirmé que « les entreprises peuvent choisir d’attendre, mais elles ne doivent pas rester passives ».

Quels sont les principaux critères de confidentialité des données pour une plateforme analytics conforme et fiable ?

En conclusion de ce webinar, Louis-Marie Guérif, DPO du groupe Piano, a expliqué ce qu’il faut attendre d’un fournisseur pour rester conforme au RGPD.

Les entreprises qui cherchent à migrer vers une autre solution doivent avant tout privilégier celles qui instaurent une relation équilibrée entre le responsable du traitement des données et le fournisseur de données (prestataire), dans une logique de conformité. En vertu de l’article 28 du RGPD, cela implique la signature d’un contrat de protection des données clair et explicite qui répond à différentes questions :

• À qui incombent la responsabilité de toutes les actions relatives aux données ainsi que la charge d’informer les autres parties ?
• Quelles sont précisément les données personnelles traitées ? Comment et dans quel but ?
• Où sont traitées et stockées les données ? Quelles sont les garanties associées ?

Le fournisseur choisi doit ainsi mettre à disposition un contrat de traitement des données qui explique de manière simple comment travailler en toute conformité avec le RGPD. Ce contrat s’accompagne d’une double exigence : d’une part, un support facilement accessible offrant des réponses claires et, d’autre part, une personne de contact spécifiquement chargée de la confidentialité des données.

La conformité de Piano Analytics au RGPD est également essentielle pour bénéficier de sa dispense de consentement aux cookies par le biais de l’analytics hybride. Lisez cet article pour en savoir plus sur notre prochain webinar consacré à l’analytics hybride.

Quelle est la meilleure approche pour la suite ?

Les transferts illégaux de données de Google vers les États-Unis sont actuellement au cœur de l’actualité. Cependant, la question du respect de la législation sur la protection de la vie privée et de l’application du RGPD n’a rien de nouveau et n’est pas près de disparaître. L’expérience de Ouest-France, qui a mis en œuvre d’une solution analytics d’un autre genre, a montré l’importance d’adopter une stratégie intelligente et la nécessité de ne pas rester passif.

Dans le domaine de confidentialité, le meilleur moyen d’éviter tout risque d’être pénalisé par des changements soudains de la situation reste encore de mener des analyses d’impact et d’anticiper son utilisation future des données. Comme l’a souligné Merav Griguer, le problème ne concerne pas tant l’accès des États-Unis à des données personnelles européennes que les géants de la tech, et notamment Google et Facebook. Cela fait des années que l’on constate des pratiques illégales d’utilisation des données dans d’autres pays, sans que cela ait à ce jour entraîné la fermeture d’Internet.

Tout cela est en somme une question de gestion des risques : choisir une solution tierce constitue, du fait des garanties offertes par votre fournisseur, à la fois l’option la plus sûre et la plus viable. Piano Analytics est et reste, tout comme avant l’acquisition d’AT Internet par le groupe Piano, l’un des outils les plus conformes du marché. Nous vous proposons des mesures claires et simples de réduction des risques pour vous permettre de vous projeter confortablement dans l’avenir sans mettre en péril votre compétitivité sur le marché.

Piano Analytics, la première solution à avoir été agréée par la CNIL, respecte les dispositions du RGPD.  Vous souhaitez savoir comment Piano Analytics peut garantir la conformité de vos données ? Demandez une démo dès maintenant.