Tremblement de terre dans l'univers de la mesure d'audience. Pour la CNIL, les transferts vers les États-Unis des données collectées par Google Analytics sont illégaux. L’autorité, qui suit ses homologues autrichiens et néerlandais, met en demeure un site. Il dispose d'un mois pour se conformer au RGPD et au besoin d’abandonner la solution Google.
La Commission n’a pas jugé utile de rendre publique sa délibération et donc le nom du site litigieux. Elle relève néanmoins dans un communiqué que cette mise en demeure intervient après la procédure initiée par NOYB en août 2020.
Retour donc à ces origines. L’association None of Your Business (Noyb), fondée par l'activiste Maximilien Schrems, avait déposé alors 101 plaintes à travers l’Europe pour dénoncer justement des transferts de données à caractère personnel vers les États-Unis au moyen de ces outils de mesures d'audience.
De l’invalidation du Privacy Shield à 101 plaintes RGPD
Cette procédure avait été architecturée sur la décision de la Cour de justice de l’UE en date du 16 juillet 2020. La CJUE invalidait alors le fameux Privacy Shield, accord passé par la Commission européenne, qui permettait jusqu'alors de qualifier les États-Unis comme une zone suffisamment sûre pour autoriser ces opérations vers l’autre rive de l’Atlantique.
Contrairement à la Commission européenne, la CJUE avait constaté que les lois de surveillance américaines autorisent des ingérences profondes des autorités, sans être accompagnées des garanties suffisantes notamment juridictionnelles au profit des citoyens européens.
L’association NOYB avait alors déposé sa centaine de plaintes auprès des autorités de contrôle européennes afin de faire couper ces robinets. Elle mettait à l’index en France six responsables de traitement. Trois pour leurs liens avec Facebook, autant pour leurs liens avec Google.
Ces derniers sont, pour ce qui est de Google :
Des transferts non suffisamment encadrés
La CNIL a validé l’analyse, et vient de conclure « que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle ».
Cette insuffisance s’explique par « l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis ». Et pour cause, l'invalidation du Privacy Shield, qui suivait elle-même celle du Safe Harbor, n'a toujours pas été colmatée, au grand dam de Méta (Facebook).
Sans un tel document, en effet, « le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment ».
En somme, il revient désormais à chaque responsable de traitement de garantir le caractère hermétique des données à caractère personnel collectées notamment via Google Analytics.
De l’insuffisance des clauses contractuelles types
Sur ce point, Google ne s’appuie plus sur le Privacy Shield, mais sur les clauses contractuelles types, un autre véhicule international prévu par le RGPD. C’est que le géant du numérique précise dans ses conditions générales.
Problème : peu importe finalement le moyen de transport, le problème reste le même. Les clauses contractuelles types relèvent du contrat entre des personnes, mais l’importateur de données ne peut jamais garantir absolument que la protection donnée aux citoyens européens aux États-Unis est équivalente à celle des Européens : ces contrats ne sont évidemment pas opposables aux lois sécuritaires américaines.
C’est ce que dit en creux la CNIL : « si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données ».
Ceux qui utilisent ces solutions Google (ou équivalentes) auront beau présenter ces dispositions contractuelles sous leur meilleur jour, la CNIL constate « un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».
Et de ce constat, la Commission en déduit une violation des articles 44 et suivants du RGPD relatifs aux transferts internationaux.
Quelles pistes pour l’avenir ?
Le site épinglé par la CNIL dispose désormais d’un mois pour rectifier le tir. La CNIL lui donne généreusement quelques pistes : cesser « d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) » ou opter pour un outil n’entraînant pas de transfert hors UE.
La Commission prévient que d’autres sites font l’objet d’une procédure de mise en demeure, dans le cadre de ce dossier où elle intervient en coopération avec ses homologues européens.
Autriche, Pays-Bas, e-santé
La procédure qui se limite pour l’instant à une simple mise en demeure anonyme est un coup de semonce des autorités de contrôle.
Elle intervient après une décision similaire rendue par son homologue autrichien (voir ce billet de l’association Noyb) et une autre de l’autorité hollandaise. Il y a quelques jours l’association Interhop a elle-aussi saisi la CNIL d’une plainte identique, en dénoncant là encore l’usage de Google Analytics par les acteurs de l'e-santé.
L'association demande à la Commission « d’analyser les conséquences de la jurisprudence Schrems II sur l’utilisation du service Google Analytics concernant l’ensemble des acteurs de la e-santé » et « de stopper les traitements qui s’avèreraient illégaux ».
Elle met à l’index des acteurs comme Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc et Maiia.
Effet domino
L’effet domino, évoqué dans cette tribune de Nozha Boujemaa, vice-présidente monde « éthique numérique et IA responsable » d’Ikea Retail, se confirme donc bel et bien.
La CNIL recommande pour sa part l’utilisation de services de mesure et d’analyse d’audience pour produire uniquement « des données statistiques anonymes », ce qui permettrait ainsi « une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux ».
Max Schrems, président honoraire de noyb.eu, juge « intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale ». Il suppose que d'autres autorités prendront une décision similaire, dans un cadre coordonné.
Commentaires (27)
#1
Suis-je le seul à trouver scandaleux cette nouvelle pratique de la CNIL consistant à publier des articles aux conséquences organisationnelles très importantes pour les entités privées et publiques françaises, sans prendre le soin de publier le contenu exact des argumentaires développés ?
En l’espèce, la mise en demeure n’est pas publique. Or, elle permettrait certainement d’identifier précisément les arguments développés par la Présidente de l’autorité.
Le communiqué de la CNIL est trop vague et imprécis pour permettre une réelle analyse de fond.
Une pratique similaire avait été opérée à l’occasion de la sanction par la CNIL “d’un responsable de traitement et de son sous-traitant sur des enjeux de “credential stuffing”” : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant
Tout en avertissant les responsables de traitement et sous-traitants de la nécessité de déployer des mesures contre les attaques de type “credential stuffing”, il était impossible de comprendre précisément les motifs de la décision (non publique) ayant conduit à une sanction de la part de la formation restreinte de la CNIL …
#1.1
Bah en fait, ça n’est pas une surprise. Il est évident pour n’importe quel juriste de bonne foi qu’une disposition légale (les lois américaines) prévaut sur des dispositions contractuelles. Et donc que si la CJUE a invalidé le Privacy Shield parce que la loi américaine est trop intrusive, alors, CCT ou pas, les transferts sont impossibles.
La CNIL ne fait que confirmer ce que tout le monde avait vaguement compris, sauf ceux qui ne voulaient pas comprendre.
#1.2
Je n’ai aucun soucis avec le raisonnement juridique. Je le comprends parfaitement. Il s’inscrit dans la droite ligne de “Schrems II” et des “Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE” de l’EDPB.
Mais en publiant un simple communiqué via un article sur son site, la CNIL s’écarte de la nécessité de fournir un raisonnement juridique argumenté. Ainsi, et comme on le voit depuis ce matin, des raccourcis sont pris et de nombreux titres de presse et/ou des professionnels du secteur considèrant que “l’utilisation de GOOGLE ANALYTICS” est illégale.
Sans même se demander s’il n’est pas possible, à ce jour, d’utiliser GOOGLE ANALYTICS sans que cela ne suppose le traitement de données personnelles. Si tel était le cas, il n’y aurait plus d’enjeux de transferts de données personnelles hors UE …
Cette question revient d’ailleurs, pour partie, à se demander si GOOGLE ANALYTICS pourrait remplir les critères de l’exemption de consentement tels que prévus par les points 50 à 52 de la Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »)
En ne fournissant pas un argumentaire détaillé de sa prise de position (ce qui ressortirait forcément d’une délibération argumentée …), la CNIL fausse à mon sens -peut-être de manière délibérée- son discours. En conséquence de quoi, de nombreux raccourcis sont pris par les observateurs en tous genres.
#1.3
Je pense que c’est voulu car la cible actuelle de la CNIL reste le site qui a mis Google Analytics en place.
Alors qu’amha, la cible réelle de la CNIL est Google et ses services (Analytics/Ads) qui se fout de sa gueule depuis maintenant un peu trop longtemps et qui profite de la moindre ouverture juridique pour se glisser dedans.
Moins la CNIL montre de cartes de son jeu, plus elle a de poids pour se préparer à continuer.
Pendant que Google et consorts, eux, sont obligés de surréagir face au buzz du “google analytics est illégal”.
Ils proposeront d’autres services en attendant.
Leur R&D reste plus rapide que la justice.
#2
Et qu’en est-il de l’utilisation des Google Font ?
Ne serait-ce pas aussi une infraction au RGPD, mais sans demande de consentement cette fois-ci ?
#3
Selon les allemands, c’est aussi illégal : https://twitter.com/FascinatingTech/status/1487342734906171393
#4
bon on abandonne gmail aussi?
#4.1
C’est pas encore fait ça ?
#5
Chez Google/Alphabet on doit commencer à prévoir une perte de clients.
#5.1
Pas vraiment, Pluto une perte de revenue, car ils risquent de ne plus pouvoir exploité tes infos pour faire de la pub ciblée.
Le plus simple ça serait de créer un “google” européen qui ne communique pas avec l’extérieur, mais qui marche tout pareil.
En gros dans le genre de ce que fait MS avec Azure en chine (21Vianet)… ça créerait plein d’emploi en Europe (si c’est rentable)
#6
Sait-on d’ores et déjà si cela concerne les trackers des applications mobiles, comme Google Analytics ou Google Firebase Analytics ?
#7
Les arguments contre Google Analytics peuvent être utilisés tels quels contre Google Ads non ?
#8
C’est tellement beau.
#9
Ça nous pendait au nez depuis un bout de temps, mais c’est un énorme coup de pied dans la fourmilière ! On va voir quelles seront les suites…
Une possibilités que les entreprises à qui une mise en demeure a été adressée assent un recours au Conseil d’État ?
#9.1
La mise en demeure n’est pas une sanction. Nous n’en sommes donc pas là.
#9.2
Si je ne dis pas de bêtises, il est possible de contester une mise en demeure : https://www.cnil.fr/fr/cnil-direct/question/sanctions-peut-faire-un-recours-contre-une-decision-de-sanction-ou-de-mise-en
Dans le cas où l’une des boîtes considère qu’il est légitime d’utiliser Google Analytics typiquement
#10
Enfin une bonne raison pour sortir le champagne !
Une pensée tendre, quand-même, pour les raclures qui se font du pognon sur le dos de l’intimité des gens depuis de trop tombeuses années.
#11
Si on a désactivé dans Google analytics la transmission clientID et cocher l’anonymisation de l’adresse IP, on est bon ?
#12
L’anonymisation de l’IP dans Google analytics ça cache juste un octet de l’IP
#13
L’utilisation des scripts Google est juste de la paresse intellectuelle. On ne se donne pas la peine de voir ce qu’il existe ailleurs. Pourtant, le fait de monnayer les grosses utilisations de Google Maps a bien montré que quand on veut, on peut trouver des alternatives : aujourd’hui de nombreux sites utilisent Open Street Maps (bon, c’est parce qu’ils veulent toujours du gratuit, mais ils ont fait l’effort de changer, pour un service équivalent).
#14
Ça concerne tous les traqueurs de Google ? 😁
#14.1
Google maps, recaptcha, webfonts
#15
Ce serait nécessaire, mais non suffisant. En fait, si Google (et toute entreprise US, ou ayant sa maison-mère aux USA) se conforme à la loi US et au CLOUD Act, ils ne peuvent être conforme au RGPD, c’est juste impossible de fait. Même si les données sont stockées en UE. Même si les serveurs appartiennent à un tiers, si c’est Microsoft qui opère, dessus, ça ne change rien.
(Après, il faudrait voir exactement quel est le montagne technique pour MS/21Vianet ; si Microsoft ne possède rien et que 21Vianet a acheté les solutions Azure pour les déployer sur ses serveurs, alors ce serait faisable, mais dans une telle situation ce n’est plus du cloud Microsoft mais du cloud 21Vianet sur techno MS, ce qui est quand-même radicalement différent sur le plan économique pour eux).
Le droit US a cette spécificité qu’il se permet une dimension extraterritoriale (c’était le cas pour la question des impôts, c’est devenu le cas pour le terrorisme et le financement - même supposé - de celui-ci, c’est le cas pour le numérique depuis le CLOUD Act).
Quand on voit ce que ça a impliqué dans le cas de la “lutte contre le terrorisme”, on voit bien tout ça n’est en réalité qu’une façon d’avoir la mainmise sur l’industrie et l’économie à un niveau mondial.
Factuellement, on ne devrait utiliser aucun service US pour des traitements (au sens le plus large de l’acception “traitement) mettant en œuvre des données personnelles (au sens le plus large de “donnée personnelle”).
#16
Quelqu’un aurait une idée de l’impact sur Google Ad manager? La question sous-jacente: on arrête les transferts de données perso aux US ou on n’autorise que celles qui sont consenties?
#16.1
Tout transfert de données personnelles vers les US est illégal donc peut importe que c’est consenti ou non
#17
Ça voudrai dire que Google Analytics est illégale en Europe ?
Mais que penser alors de Gmail ? J’ai pas du tout comprendre
#18
Sauf ce que les managers qui veulent à tout pris “aller dans le cloud” ne voulaient pas entendre de la part de leur base, par exemple ?