Dans un communiqué du 10 février 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir mis en demeure un éditeur de site web ayant recours à la fonctionnalité Google Analytics.
La Cnil a également publié une version anonymisée de cette mise en demeure.
Quels sont les enjeux et les constats de la Cnil ? Quelles sont les conséquences de cette mise en demeure ?
Quels sont les enjeux de Google Analytics ?
La fonctionnalité Google Analytics est utilisée par les éditeurs de site web à des fins de mesure d’audience. A ce titre, un identifiant unique est attribué à chaque visiteur. Cet identifiant et d’autres données collectées (adresse du site visité, données relatives au navigateur et au système d’exploitation, adresse IP, etc.) font l’objet d’un transfert aux États-Unis.
Pour rappel, depuis l’invalidation du Privacy Shield par la Cour de la justice de l’Union européen le 16 juillet 2020, tout transfert vers les États-Unis doit être encadré par un outil de transfert prévu par le RGPD. Toutefois, quel que soit l’outil alternatif à une décision d’adéquation utilisé, les entités doivent mettre en place des mesures complémentaires afin d’empêcher l’accès aux données par les services de renseignement américains.
Quels sont les constats de la Cnil ?
La Cnil estime que le transfert des données via la fonctionnalité Google Analytics est illégal.
En l’espèce, ledit transfert est encadré par des clauses contractuelles types, complétées par des mesures adoptées par la société Google. Toutefois, selon la Cnil, ces mesures complémentaires sont insuffisantes car elles ne permettent pas d’exclure la possibilité d’accès des autorités américaines aux données. Il existe donc un risque pour les internautes des sites web français utilisant Google Analytics.
Quelles sont les mesures adoptées par Google ?
La société Google a adopté plusieurs mesures complémentaires de nature contractuelle, organisationnelle et technique.
A titre d’exemple, des techniques de chiffrement ont été mises en place pour les données entreposées dans des centres de données. Toutefois, la Cnil relève qu’en vertu de la loi américaine, la société Google a l’obligation d’accorder aux autorités américaines l’accès à ces données, y compris les clés de déchiffrement. Ces mesures de chiffrement sont donc inefficaces en pratique.
Une autre mesure adoptée par la société Google porte sur l’examen attentif de la licéité des demandes formulées par les autorités américaines. A ce titre, la Cnil souligne que cette mesure est également inefficace car même les demandes licites des services de renseignement américains ne sont pas conformes aux exigences européennes.
Quelle est la solution retenue ?
Au vu de ces constats, la Cnil impose à l’éditeur de se mettre en conformité, « si nécessaire, en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE« .
En pratique, cela signifie qu’à défaut de mettre en place des mesures complémentaires efficaces, l’éditeur de site web ne doit plus utiliser l’outil Google Analytics. Dans le cas contraire, il est susceptible de faire l’objet d’une procédure de sanction.
Quelles sont les conséquences ?
La décision de la Cnil peut potentiellement avoir des conséquences au-delà du seul transfert des données via la fonctionnalité Google Analytics.
En effet, le risque de mise en demeure ou de sanction pèse sur tout acteur utilisant un service :
- dont le fonctionnement implique un transfert de données non encadré par une décision d’adéquation ;
- dont le fournisseur est soumis à une législation permettant un accès aux données importées par des autorités nationales (par exemple, pour les États-Unis : FISA Section 702 et Executive Order 12333).
Quelles sont les suites ?
Au terme du délai d’un mois, en fonction des éléments qui seront transmis par l’éditeur du site web, la Présidente de la Cnil peut soit prononcer la clôture de la mise en demeure, soit décider de désigner un rapporteur en vue de l’ouverture d’une procédure de sanction.
D’autres procédures de mise en demeure sont en cours à l’encontre d’autres éditeurs utilisant l’outil Google Analytics. Ces procédures ont été ouvertes à la suite de 101 plaintes déposées par l’association NOYB auprès des autorités compétentes de l’Espace Économique Européen, parmi lesquelles figure la Cnil.
Ainsi, dans une décision du 22 décembre 2021, l’autorité de contrôle autrichienne a jugé que l’outil Google Analytics ne pouvait pas être utilisé conformément aux exigences du RGPD. L’autorité de contrôle norvégienne a également annoncé qu’une enquête relative à cet outil était en cours.