Dans une décision relayée le 10 février 2022 et publiée le 16 février 2022, la CNIL, saisie par l'ONG de défense de la vie privée NOYB ("None of Your Business"), considère que Google Analytics n’est pas conforme au règlement général sur la protection des données (RGPD)[1] en raison des conditions dans lesquelles les données collectées sont transférées vers les États-Unis et du danger que cela représente pour les internautes français (notamment un risque d’ingérence des services de renseignement américains).
Dans cette décision, la CNIL met en demeure un gestionnaire de site français de se mettre en conformité avec le RGPD dans un délai d’un mois, soit en suspendant son utilisation de la fonctionnalité Google Analytics (dans les conditions actuelles), soit en recourant à un outil n’entraînant pas de transfert hors de l’Union européenne.
Une décision dans la lignée de Schrems II
La décision du 10 février 2022 s’inscrit, d’une part, dans la volonté de la CNIL de relocaliser la maîtrise des données des Européens en Europe. Cette volonté n’est pas nouvelle et trouve un exemple récent dans le livre blanc sur les données de paiement d’octobre 2021, dans lequel la CNIL appelle de ses vœux la localisation des données de paiement en Europe pour contribuer à la lutte sur la souveraineté numérique européenne.
D’autre part, cette décision s’inscrit dans le sillage de l’arrêt Schrems II dans lequel la CJUE avait conclu à l’invalidation du Privacy Shield. La CNIL ne fait donc que tirer les conséquences des décisions luxembourgeoises.
Quelles solutions pratiques ?
La CNIL incite les entreprises françaises à se tourner vers des solutions européennes. Ces dernières existent et semblent représenter des alternatives viables à Google Analytics.
Il pourrait également être envisagé de recourir à l’article 49.1 du RGPD, qui pose une exception à l'interdiction des transferts vers des pays non sûrs dès lors que l’utilisateur a donné son consentement explicite et a été informé "des risques que ce transfert pouvait comporter".
Toutefois, il est peu probable que cette parade résiste à l’examen de la CNIL, l’article 49 ayant vocation à s’appliquer à des "dérogations pour des situations particulières" et à des transferts "occasionnels et non répétitifs".
Alternativement, certains prétendent qu’il serait possible de re-configurer Google Analytics afin de pouvoir continuer à l’utiliser, par exemple en anonymisant les adresses IP avant stockage, en réduisant la durée de vie des cookies ou le volume de données collecté par ces cookies. Toutefois, l’efficacité de telles solutions – ainsi que leur réelle faisabilité technique – restent à éprouver.
Un raisonnement applicable à de nombreux autres services
Poussé à l’extrême, le raisonnement de la CNIL pourrait s’appliquer à tous les services américains traitant les données personnelles d’européens, même dans l’hypothèse où les données seraient stockées en Europe et non transférées vers les Etats-Unis – le risque pour les opérateurs de cloud étant d’autant plus élevé que le cloud figure parmi les thématiques prioritaires de contrôle la CNIL pour l’année à venir[2].
Cela conduirait à conclure à l’impossibilité de recourir aux services d’une société américaine… à moins que les lois américaines n’évoluent sur ce point, comme le propose NOYB (option qui, à notre connaissance, n’est pas discutée à ce jour), ou que Google accepte de modifier les conditions de son service (en tronquant les adresses IP par exemple, empêchant ainsi l’identification de son titulaire, tout en permettant la mesure d’audience).
Une solution à cette problématique de transfert pourrait également passer par la voie politique, comme la signature de l’accord de principe UE-USA le 25 mars dernier permet de l’espérer[3].
Article paru dans Option Finance le 28/04/2022
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.