Tremblement de terre dans l'univers de la mesure d'audience. Pour la CNIL, les transferts vers les États-Unis des données collectées par Google Analytics sont illégaux. L’autorité, qui suit ses homologues autrichiens et néerlandais, met en demeure un site. Il dispose d'un mois pour se conformer au RGPD et au besoin d’abandonner la solution Google.
La Commission n’a pas jugé utile de rendre publique sa délibération et donc le nom du site litigieux. Elle relève néanmoins dans un communiqué que cette mise en demeure intervient après la procédure initiée par NOYB en août 2020.
Retour donc à ces origines. L’association None of Your Business (Noyb), fondée par l'activiste Maximilien Schrems, avait déposé alors 101 plaintes à travers l’Europe pour dénoncer justement des transferts de données à caractère personnel vers les États-Unis au moyen de ces outils de mesures d'audience.
De l’invalidation du Privacy Shield à 101 plaintes RGPD
Cette procédure avait été architecturée sur la décision de la Cour de justice de l’UE en date du 16 juillet 2020. La CJUE invalidait alors le fameux Privacy Shield, accord passé par la Commission européenne, qui permettait jusqu'alors de qualifier les États-Unis comme une zone suffisamment sûre pour autoriser ces opérations vers l’autre rive de l’Atlantique.
Contrairement à la Commission européenne, la CJUE avait constaté que les lois de surveillance américaines autorisent des ingérences profondes des autorités, sans être accompagnées des garanties suffisantes notamment juridictionnelles au profit des citoyens européens.
L’association NOYB avait alors déposé sa centaine de plaintes auprès des autorités de contrôle européennes afin de faire couper ces robinets. Elle mettait à l’index en France six responsables de traitement. Trois pour leurs liens avec Facebook, autant pour leurs liens avec Google.
Ces derniers sont, pour ce qui est de Google :
Des transferts non suffisamment encadrés
La CNIL a validé l’analyse, et vient de conclure « que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle ».
Cette insuffisance s’explique par « l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis ». Et pour cause, l'invalidation du Privacy Shield, qui suivait elle-même celle du Safe Harbor, n'a toujours pas été colmatée, au grand dam de Méta (Facebook).
Sans un tel document, en effet, « le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment ».
En somme, il revient désormais à chaque responsable de traitement de garantir le caractère hermétique des données à caractère personnel collectées notamment via Google Analytics.
De l’insuffisance des clauses contractuelles types
Sur ce point, Google ne s’appuie plus sur le Privacy Shield, mais sur les clauses contractuelles types, un autre véhicule international prévu par le RGPD. C’est que le géant du numérique précise dans ses conditions générales.
Problème : peu importe finalement le moyen de transport, le problème reste le même. Les clauses contractuelles types relèvent du contrat entre des personnes, mais l’importateur de données ne peut jamais garantir absolument que la protection donnée aux citoyens européens aux États-Unis est équivalente à celle des Européens : ces contrats ne sont évidemment pas opposables aux lois sécuritaires américaines.
C’est ce que dit en creux la CNIL : « si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données ».
Ceux qui utilisent ces solutions Google (ou équivalentes) auront beau présenter ces dispositions contractuelles sous leur meilleur jour, la CNIL constate « un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».
Et de ce constat, la Commission en déduit une violation des articles 44 et suivants du RGPD relatifs aux transferts internationaux.
Quelles pistes pour l’avenir ?
Le site épinglé par la CNIL dispose désormais d’un mois pour rectifier le tir. La CNIL lui donne généreusement quelques pistes : cesser « d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) » ou opter pour un outil n’entraînant pas de transfert hors UE.
La Commission prévient que d’autres sites font l’objet d’une procédure de mise en demeure, dans le cadre de ce dossier où elle intervient en coopération avec ses homologues européens.
Autriche, Pays-Bas, e-santé
La procédure qui se limite pour l’instant à une simple mise en demeure anonyme est un coup de semonce des autorités de contrôle.
Elle intervient après une décision similaire rendue par son homologue autrichien (voir ce billet de l’association Noyb) et une autre de l’autorité hollandaise. Il y a quelques jours l’association Interhop a elle-aussi saisi la CNIL d’une plainte identique, en dénoncant là encore l’usage de Google Analytics par les acteurs de l'e-santé.
L'association demande à la Commission « d’analyser les conséquences de la jurisprudence Schrems II sur l’utilisation du service Google Analytics concernant l’ensemble des acteurs de la e-santé » et « de stopper les traitements qui s’avèreraient illégaux ».
Elle met à l’index des acteurs comme Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc et Maiia.
Effet domino
L’effet domino, évoqué dans cette tribune de Nozha Boujemaa, vice-présidente monde « éthique numérique et IA responsable » d’Ikea Retail, se confirme donc bel et bien.
La CNIL recommande pour sa part l’utilisation de services de mesure et d’analyse d’audience pour produire uniquement « des données statistiques anonymes », ce qui permettrait ainsi « une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux ».
Max Schrems, président honoraire de noyb.eu, juge « intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale ». Il suppose que d'autres autorités prendront une décision similaire, dans un cadre coordonné.
