La CNIL a décidé que les transferts vers les États-Unis des données collectées par Google Analytics étaient en l’état illégaux. Une conséquence de la jurisprudence de la Cour de justice de l’UE. Après son communiqué du 10 février, la Commission a finalement diffusé la mise en demeure anonymisée. Retour sur cette délibération.
Visée par plusieurs procédures CADA, dont l’une de notre part, la CNIL a finalement décidé de diffuser cette fameuse mise en demeure, associée à son communiqué initial.
Le nom de l’entreprise avertie n’est pas diffusé, mais ce détail est finalement moins important que les ressorts de cette délibération. Et pour cause : après plusieurs de ses homologues, l’autorité de contrôle a décidé à son tour de considérer en substance que les transferts de données à caractère personnel par Google Analytics vers les États-Unis n’étaient pas dans les clous de la législation.
Cette mise en demeure fait suite à la saisine de l’association NOYB, qui parmi les 101 réclamations, a pointé trois sociétés françaises pour l’utilisation de cette solution de mesures d’audience :
- La plainte contre Decathlon France SA
- La plainte contre Auchan e-Commerce France
- La plainte contre Sephora SAS
C’est donc l’une de ces trois sociétés qui est ici en cause. La CNIL a procédé par contrôle sur pièces en lui adressant un questionnaire dont les réponses lui ont permis de charpenter sa décision. L’entreprise a en effet justifié l’utilisation de cet outil pour mesurer ses audiences, mais aussi la performance de ses campagnes médias.
« En associant l’identifiant unique d’un utilisateur aux données de cet utilisateur provenant d’une ou plusieurs sessions lancées à partir d’un ou plusieurs appareils, Google Analytics permet d’obtenir un décompte plus précis des utilisateurs (en identifiant un utilisateur en tant qu’utilisateur distinct, même lors d’une session différente) », détaille en ce sens l’autorité.
Avec Google Analytics, l’éditeur du site peut ainsi jauger les pics ou l’absence de fréquentations, mais aussi optimiser ses campagnes publicitaires menées en conjonction avec d’autres outils Google.
Pour produire ces résultats, Google Analytics collecte la requête http de l’utilisateur, mais aussi des informations sur le navigateur, sur son OS ou encore la langue utilisée. « Google Analytics dépose et lit des cookies sur le navigateur de l’utilisateur pour permettre d’évaluer la session de l’utilisateur et les autres informations de la requête de page » ajoute encore l’autorité.
Les ingrédients du champ d’application du RGPD
Pour éprouver ces opérations sur le terrain du RGPD, l’étape préalable reste toujours la même : il faut d'une part un traitement de données, d'autre part que ce traitement porte sur des données à caractère personnel. Ces ingrédients ont facilement été identifiés déjà parce que ces deux piliers sont définis très largement par le RGPD.
Le règlement définit les « traitements » comme toute opération ou tout ensemble d'opérations effectuées à des données. Et les « données à caractère personnel » se définissent comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Ici, des opérations d’enregistrement et de transfert sont réalisées sur des cookies et des adresses IP. Ces informations, note la CNIL, « peuvent être utilisées comme moyens pour identifier un utilisateur, en particulier lorsqu’elles sont combinées avec d’autres types d’informations similaires ».
Pour confirmer le label de données à caractère « personnel », l’autorité a procédé à une certaine gymnastique en partant du considérant 30 du RGPD. Selon cette disposition interprétative, « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion ("cookies") ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence ».
Dans un tel cas, poursuit le même texte, « ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».
Ceci posé, la doctrine de l’autorité est d’une efficacité redoutable puisque « dans l’hypothèse où le responsable de traitement ferait valoir ne pas avoir la capacité d’identifier l’utilisateur grâce à l’usage de ce type d’identifiants (seuls ou combinés avec d’autres données), il devrait démontrer les moyens mis en œuvre pour s’assurer du caractère anonyme des identifiants collectés ». Et « en l’absence d’une telle démonstration, ces identifiants ne sauraient être qualifiés d’anonymes ».
Dans le cas présent, la société mise à l’index a affirmé que les adresses IP collectées étaient rendues anonymes, mais elle ne détaille pas comment. En outre, Google Analytics traite également un identifiant du visiteur, unique, afin de le combiner à l’IP, voire aux comptes utilisateurs enregistrés. La conclusion de la CNIL est donc implacable : cette combinaison « permet de renforcer leur caractère discriminant » et donc le caractère identifiable des données traitées.
L’ensemble de ces traces, même démunies de nom et d’adresse postale, sont bien des données à caractère personnel. « S’il devait en être décidé autrement, la portée du droit à la protection des données (…) serait diminuée. En effet, cela permettrait à des sociétés d’individualiser des individus et de leur associer des informations personnelles (telles que leur visite d’un site web spécifique) sans accorder aux individus de protection contre cette individualisation ».
En définitive, il y a un traitement. Il y a des données à caractère personnel. Et le RGPD s’applique. En outre, c’est bien l’éditeur du site qui est désigné responsable de traitement, puisqu’il a déterminé les moyens et les finalités de la collecte en choisissant Google Analytics plutôt qu’une autre solution. Il doit donc en assumer les conséquences.
Les transferts de données hors de l’UE
L’épine dans le pied arrive : ces données ne sont pas traitées sur le sol européen, mais sur le sol états-unien. Elles sont transférées au-delà de nos frontières à l’aide d’un véhicule juridique : les clauses contractuelles types.
Le RGPD interdit par principe ces transferts. Une interdiction qui connaît toutefois plusieurs exceptions pour justifier, malgré tout, ces exportations vers un pays tiers à l’Europe. Ce peut être les accords « d’adéquation », avec lesquels la Commission européenne reconnait que ce pays lointain présente un niveau de protection équivalent à n’importe quel État membre de l’UE.
Ce levier est impossible pour les États-Unis depuis le 16 juillet 2020 lorsque la CJUE a invalidé l’accord d’adéquation Privacy Shield. C’est l’arrêt Schrems II.
Des clauses contractuelles types peu solides face à FISA
À défaut de décisions d’adéquation, des « garanties appropriées » permettent de légaliser des transferts. Le RGPD identifie en particulier les clauses contractuelles types qui ont été établies, là encore, par la Commission européenne le 5 février 2010.
La Cour n’a pas invalidé ces modèles de contrats de transfert de données personnelles en tant que tel, mais dans son arrêt de juillet 2020, elle a néanmoins jugé que ces clauses ne sont parfois pas un rempart suffisant.
C’est toujours le cas lorsque la législation du pays d’importation permet des ingérences dans les droits des personnes. Dans une telle situation, l’exportateur doit suspendre ces transferts ou bien appliquer des garanties supplémentaires.
Dans sa délibération, la CNIL rappelle la situation américaine décrite par l’arrêt Schrems II de la CJUE à savoir l’emprise des programmes de surveillance en vigueur aux États-Unis et l’absence de recours effectif pour les personnes physiques concernées. Des programmes étatiques face auxquels les clauses contractuelles types sont évidemment inopposables.
L’autorité cite tout particulièrement la loi FISA qui permet la surveillance de personnes en dehors des États-Unis afin d’acquérir des informations de renseignement étranger.
Et la CNIL de relever stratégiquement qu’il « ressort du rapport de transparence de Google que Google LLC est régulièrement destinataire de telles demandes d’accès par les services de renseignement des États-Unis d’Amérique » (entre 22 000 et 22 499 comptes ont été visés de janvier à juin 2020, par exemple, chiffres qui ne recouvrent pas l'ensemble des comptes visés mais seulement ceux relevant de demandes des États-Unis pour la sécurité nationale).
Certes, il n’est pas absolument assuré que ces services trouvent un quelconque intérêt à surveiller des achats réalisés sur le site de Décathlon, Auchan ou Séphora, mais l’autorité a bien dû trancher, sans entrer dans ces questions d’opportunité. Un tel débat, s’il avait été ouvert, aurait finalement été insoluble, inopérant et donc stérile.
Pas de garanties supplémentaires
La CNIL s’arme aussi des recommandations du 18 juin 2021 du Comité Européen de la Protection des Données. Ce dernier a réclamé la mise en place de garanties supplémentaires contractuelles, organisationnelles et techniques, afin de passer haut la main le test d’équivalence avec le droit européen.
Sa loupe dirigée vers les mesures mises en place par Google LLC, la CNIL dézingue l’une après l’autre chacune de ces mesures.
Juridiquement, « ni la notification des utilisateurs (si celle-ci est possible), ni la publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales (« policy on handling government requests ») ne permet concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ».
Techniquement, « il n’a pas été clarifié, ni par Google LLC, ni par la société comment les mesures décrites – telles que la protection des communications entre les services de Google, la protection des données en transit entre des centres de données, la protection des communications entre les utilisateurs et les sites web ou la sécurité sur site – permettent de prévenir ou de réduire les possibilités d’accès des services de renseignement américains sur la base du cadre légal américain ».
Et le chiffrement ? « Google LLC, en tant qu’importateur de données a dans tous les cas l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles ».
La CNIL rejette également le bouclier de la pseudonymisation des données tout comme l’anonymisation de l’adresse IP faute d’avoir obtenu d’éclaircissement suffisant pour savoir si « cette anonymisation a lieu avant le transfert ou si l’adresse IP entière est, dans tous les cas, transmise aux États-Unis et n’est raccourcie que dans un deuxième temps, après le transfert aux États-Unis ».
Pas de dérogation pour situations particulières
Enfin, le RGPD prévoit une troisième solution lorsqu’un pays tiers ne bénéficie pas d’une décision d’adéquation ou que les garanties appropriées sont insuffisantes ou absentes : ce sont les « dérogations pour situations particulières ».
De tels transferts peuvent être justifiés en effet par le consentement explicite de la personne physique concernée, sachant que celle-ci doit alors être informée « des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ».
Mais là encore, peine perdue : « la société, loin d’établir qu’un tel consentement a été recueilli, ne met en avant aucune information relative à ces éléments qui serait transmise aux visiteurs du site web ».
Le bon fonctionnement du site, un argument insuffisant
La société mise en cause a invoqué enfin une autre disposition de l’article 49 du Règlement assurant que ces fonctionnalités « sont nécessaires au bon fonctionnement du site web et à la détection des anomalies ».
Toutefois, la CNIL n’a pas été convaincue : « cet argument n’est néanmoins étayé d’aucun élément précis et, surtout, la société n’établit pas qu’il existe un rapport contractuel entre elle et l’ensemble des utilisateurs de son site internet ».
La société a donc été mise en demeure de conformer son traitement au RGPD dans le mois, « si nécessaire, en cessant de traiter des données à caractère personnel dans le cadre de la version actuelle de Google Analytics ». Et la société devra justifier auprès de la CNIL du respect de cette demande.
Premières réactions
Pour Me François Coupez, « il n’existe à l’heure actuelle aucune certitude que la CNIL considérera les mesures mises en place par l’éditeur du site web comme suffisantes si certaines données restent pseudonymes et non complètement anonymes (donc sans rattachement possible à une personne physique). »
Parmi les pistes de mise en conformité, le juriste recommande d’opter pour des prestataires qui échappent à l’application du droit américain, ou encore en anonymisant les données collectées.
Dans tous les cas, « sauf à ce que les fournisseurs des solutions techniques dont on parle ici (Google, Facebook, etc.) implémentent dans les semaines qui viennent les garanties spécifiques empêchant l’exploitation des données personnelles des européens par les USA hors des cadres prévus, leur utilisation en l’état risque de conduire à une sanction de la CNIL ou à d’éventuelles actions en justice contre les éditeurs du site qui continuent à les utiliser ».
Me Gaétan Bourdais imagine différents scénarios : fantasmagoriques (imposer à Google « des mesures supplémentaires qui permettront d’éviter que les services de renseignements américains accèdent aux données transférées aux États-Unis de vos internautes »). Attentistes (attendre l’« adoption par Google de mesures techniques supplémentaires offrant des garanties adéquates pour les internautes »). Alternatif (choisir une solution française ou européenne).
Il relève que « Google Analytics n’est pas le seul service de Google opérant des transferts de données à caractère personnel vers les États-Unis. Ses autres services (Google Drive, Google Docs, etc.) sont prestés depuis les États-Unis ». Le dossier soulève des questions « à l’égard de toutes les entreprises américaines qui utilisent les clauses contractuelles types pour importer les données à caractère personnel de leurs clients européens ».
« L’outil de Google serait actuellement présent sur plus de 80 % des sites Web. En l’absence de modifications substantielles des paramétrages de Google Analytics, force est de se résoudre au souverainisme technologique et de privilégier des outils européens » commente pour sa part Me Gérard Haas.
D'autres procédures à venir
La CNIL a déjà indiqué que « d’autres procédures de mises en demeure ont été engagées » toujours pour l’utilisation de Google Analytics.
Témoignage de son intérêt pour les transferts de données, elle a inscrit le cloud parmi ses thématiques prioritaires en 2022 :
« Le recours aux technologies de l’informatique en nuage (plus connues sous le nom de "cloud") est en développement constant dans le secteur privé comme dans le secteur public. Ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration ».
De son côté, Max Schrems, président honoraire de l’association NOYB, juge « intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe une task force européenne et nous supposons que cette action est coordonnée et que d'autres autorités prendront une décision similaire ».
À long terme, il n’imagine qu'une alternative : soit les États-Unis revoient les garanties offertes aux personnes, soit les fournisseurs de services américains devront héberger les données étrangères en dehors du territoire américain.
Commentaires (14)
#1
quel sourire jubilatoire, quand tu te dis que finalement c’était vachement intelligent de passer sous piwik dès qu’on a commencé à parler de RGPD
merci qui?
merci nextINpact
#1.1
Je suis passé sur Piwik (maintenant Matomo) dès que j’ai eu un problème avec Google est que j’ai compris que je ne parlais qu’à des bots quand j’ai eu un problème avec l’un de leurs services. Tu peux te faire jarter sans condition pour des prétextes flous et c’est à toi d’apporter toutes les preuves (des preuves parfois impossible à fournir).
Bref, avec Matomo (auto hébergé), je sais où vont les données de mes visiteurs et ne seront pas utilisé pour alimenter d’autres services de Google.
#2
#3
C’est dingue le nombre potentiels de trucs qui sont suspendu à cet arrêt qui est littéralement la dernière mèche d’une tresse légistative rompue. Il suffit d’une cours d’appel ou de cassassion casse le truc et c’est bon toutes les entreprises peuvent publier dans des clouds ricains.
#4
Avec la hiérarchie des normes, je ne pense pas qu’une cour, fût-elle d’appel ou de cassation, soit à même d’annuler une jurisprudence de la CJUE.
Je ne sais même pas si “l’opt out” d’un état membre pourrait s’appliquer à une décision de justice de la CJUE, à moins de sortir carrément du traité qui reconnaît une cour de justice européenne, mais ça reviendrait à sortir carrément de l’UE.
#5
Pour mon information, qu’est-ce que de tel “logiciel” (je ne sais pas vraiment comment ça se nomme) apporte réellement aux gestionnaires de site web ?
Je comprends bien que ca permette de voir ke nombre de visiteurs unique ou non, le temps resté sur une page.
Mais qu’est sue le webmaster peut réellement en tirer ? En gros, à quoi ça sert ?
#5.1
Cela permet de mesurer la performance du contenu. Par exemple si tu changes la disposition des menus de navigation de ton site Web, les données de trafic te permettent d’observer l’impact de tes changements (plus de visites par ci, moins de visites par là), et donc de voir si ça marche.
Autre exemple, si tu fais une campagne de pub qui envoie vers ton site Web, les données de trafic te permettent de mesurer le succès de ta campagne de pub.
Après les données vont beaucoup plus loin que le simple nombre de visites : origine géographique des visiteurs, type d’appareil utilisé, temps passé sur chaque page, origine des visites (réseaux sociaux, moteurs de recherche, sites qui référencent). Mais je t’ai donné des exemples d’usages basiques :)
#6
“À long terme, il n’imagine qu’une alternative : soit les États-Unis revoient les garanties offertes aux personnes, soit les fournisseurs de services américains devront héberger les données étrangères en dehors du territoire américain”
Je ne suis pas sûr de bien suivre Max Schrems ici: à moins que je ne me trompe, l’hébergement en dehors du territoire américain ne change rien à la faculté du gouvernement des Etats-Unis à accéder aux données en vertu du CLOUD Act de 2018. Tout ce qui compte c’est que l’entreprise soit américaine.
Les deux solutions sont plutôt de céder l’exploitation de technologies des GAFAM à des entreprises européennes, pour le marché européen. Ou parvenir à un nouvel accord d’adéquation, non ? Quelqu’un pourrait-il m’éclairer ?
#6.1
J’étais resté sur ces mêmes éléments et même conclusion de mon côté aussi. Ça la ferait à la chinoise, obligation de passer par une entreprise locale. Ou modifier la loi américaine…
#6.2
Je comprends et interprète de la même façon.
Quid de tous les autres sites qui utilisent google analytics ?
Tous les attaquer va être trèèès long.
(mais viser les plus gros sites va “vite” faire le ménage)
#7
En vrai, c’est juste énorme ce qu’il vient de se passer. Si aucune solution n’est trouvée par Google pour répondre aux demande de l’UE alors c’est une porte ouverte gratuitement aux concurrents européens.
Impatient de voir la suite.
#8
A noter quand même que l’utilisation de Gmail par exemple devrait être proscrit pour les mêmes raisons. Données personnelles, hébergées et traitées hors UE sans garanti suffisantes.
Alors, je précise Gmail pour les entreprises, car les particuliers, dans le cadre d’un usage strictement personnel ne sont pas soumis au RGPD.
#9
Il me semble (mais je ne retrouve plus l’info) que MS a résolu ce pb en créant une filiale totalement européenne et indépendante de la maison mère, donc non soumis au cloud act. C’est cette filiale qui signe les contrats étatiques avec les gouvernements ou états.
C’est vraisemblablement la seule solution viable pour les GAFAMs, ils ne peuvent pas perdre le marché européen.
#9.1
Vu la polémique sur Health Data Hub et Microsoft Azure, j’ai des doutes.
Si Health Data Hub était mis en oeuvre par une filiale hors de portée juridique du droit US, les juristes du ministère de la Santé aurait utiliser cet argument devant le juge.
Sauf erreur, cela n’a pas été le cas.