En effet, la CNIL indique :
Compte tenu de l’utilisation très largement répandue de Google Analytics par les gestionnaires de sites Internet en France, cette décision de la CNIL est susceptible d’avoir des conséquences directes pour un grand nombre d’organismes tous secteurs confondus.
Cette annonce de la CNIL s’inscrit dans une tendance européenne vers un contrôle plus strict des transferts de données personnelles.
Ainsi, dans son désormais célèbre arrêt Schrems II de juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé la charte « Privacy Shield », qui permettait des transferts de données personnelles vers des entreprises américaines adhérentes.
En substance, la Cour a considéré que les autorités de renseignement américaines avaient trop d’accès aux données personnelles des citoyens européens transférées aux États-Unis et que le Privacy Shield ne permettait d’encadrer cette ingérence.
De plus, la CJUE a imposé de nouvelles conditions pour les organismes souhaitant fonder leurs transferts sur les « Clause contractuelles types » (CCT). Il s’agit d'un contrat type signé entre un exportateur de données situé en Europe et l’importateur dans un pays tiers, par lesquels l’importateur s’engage à respecter un niveau approprié de protection des données transférées.
Or, dans l’arrêt Schrems II, la CJUE a jugé que les CCT ne permettaient pas de lier les autorités du pays tiers, puisque ces dernières n'étaient pas parties au contrat.
Par conséquent, selon l’arrêt Schrems II, si le responsable du traitement souhaite se fonder sur les CCT pour faire un transfert, il lui appartient :
Pour revenir à la problématique spécifique de Google Analytics, cet outil fait l’objet d’une attention particulière de la part des militants de la protection de la vie privée.
En effet, l’association NOYB (None of your business) a lancé des plaintes contre une centaine d’organisations européennes qui utilisent Google Analytics et / ou Facebook Connect sur leurs sites. L’association considère que la signature des CCT avec Google ou Facebook, selon le cas, ne peut justifier le transfert si le destinataire aux États-Unis est soumis aux lois de surveillance américaines.
Dans son annonce du 10 février, la CNIL partage cette analyse. Elle considère que, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Par conséquent, les transferts de données personnelles vers les États-Unis dans ce contexte violent le RGPD et sont « illégaux ».
En conclusion, la CNIL met en demeure le gestionnaire du site de mettre en conformité ses traitements :
Par ailleurs, la CNIL n’est pas la seule autorité européenne à agir en ce sens. Ainsi, dans une décision du 13 janvier 2022, l’autorité autrichienne de protection des données a considéré que Google Analytics n’était pas conforme au RGPD, malgré le recours au mécanisme des CCT.
Dans ce contexte, il appartient aux gestionnaires de site Internet en France de décider si, dans ce contexte, ils entendent maintenir l’utilisation de Google Analytics, et sous quelles conditions.
À cet égard, la CNIL n’a pas rendu publique la mise en demeure, ce qui aurait pourtant permis d’accéder à son raisonnement détaillé. Se pose notamment la question de la possibilité (ou l’impossibilité) de mettre en place des mesures techniques et / ou paramétrages permettant de renforcer la sécurité des transferts de données réalisé, voire de les éviter.
À défaut de pouvoir assurer une utilisation compliante de Google Analytics, les responsables de traitement sont potentiellement dans l’obligation de chercher des solutions plus RGPD-compatibles.
Il convient de garder à l’esprit que cette position se rapporte ce jour à Google Analytics mais que la problématique concerne l’ensemble des outils susceptibles d’engendrer des transferts de données hors de l’Union européenne.
En l’occurrence, les plaintes déposées par NOYB concernaient tant Google Analytics que Facebook Connect.
Dans ce contexte, il convient d'effectuer un recensement de l’ensemble des outils utilisés, cartographier ceux susceptibles d’engendrer des transferts hors de l’Union européenne, identifier les garanties mises en place aux fins de procéder aux transferts et le cas échéant solliciter des mesures de sécurité complémentaires - voire, plus radicalement, de changer de solution.
En effet, les mesures appropriées de sécurité varieront selon la nature de la solution déployée et les garanties que le fournisseur est en mesure de présenter.
En tout état de cause, la CNIL indique sur son site que d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics. L’on note à cet effet que l’association InterHop a indiqué, le 29 janvier 2022, avoir saisi la CNIL s’agissant de l’utilisation, par de nombreux acteurs de la e-santé, de l’outil Google Analytics.
PÔLE DATA