La Cnil dit non à l'utilisation de Google Analytics
La Cnil s'empare enfin sérieusement de l'arrêt Schrems II. L'autorité française suit les pas de son homologue autrichien et déclare illégale l'utilisation de Google Analytics dans le cadre du RGPD. Ce service d'analyse de l'audience engendre un transfert des données personnelles vers les Etats-Unis, pays dans lequel les autorités peuvent facilement mettre la main sur les données sans le consentement des intéressés. Les garanties supplémentaires, inscrites dans les clauses contractuelles types, adoptées par l'entreprise américaine ne sont pas suffisantes. L'effet domino est lancé et pourrait avoir de sérieuses conséquences.
La Commission nationale de l'informatique et des libertés (Cnil) met en demeure ce jeudi 10 février un gestionnaire de site web, dont le nom n'a pas été dévoilé, pour l'utilisation de Google Analytics, un service d'analyse des audiences des sites web. Il a un mois pour se mettre en conformité. A défaut, il risque d'une amende pouvant aller jusqu'à 4% de son chiffre d'affaires annuel mondial.
Cette décision est majeure car elle met potentiellement fin à l'utilisation de ce service par toutes les entreprises européennes. Or, ce service est très largement utilisé.
101 plaintes, six sites français visés
C'est l'association autrichienne Noyb présidée par Maximilian Schrems – qui est à l'origine de plusieurs procédures contre les grandes entreprises technologiques américaines – qui avait saisi l'autorité française quelques mois auparavant. Noyb avait déposé une série de plaintes devant plusieurs autorités de protection des données européennes dans le cadre d'une action globale ciblant 101 sites utilisant Google Analytics ou Facebook Connect. Six entreprises françaises étaient visées : Leroy Merlin, le Huffington Post, Décathlon, Free, Auchan et Sephora.
Noyb estime que ces deux services envoient illégalement les données personnelles des Européens vers les Etats-Unis, pays dans lequel la législation permet aux autorités d'accéder aux données sans le consentement des intéressés. La Cnil vient donc de lui donner raison.
Des transferts mal encadrés
Dans le cadre de l'utilisation de Google Analytics, un identifiant unique est attribué à chaque visiteur. Cet identifiant, qui est une donnée personnelle, et les données qui lui sont associées "sont transférées par Google aux Etats-Unis". Or, "ces transferts" ne sont "pas suffisamment encadrés à l'heure actuelle, déclare l'autorité française. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées."
"Le raisonnement juridique n'est pas nouveau", explique Alan Walter, avocat spécialisée dans les nouvelles technologies et la propriété intelectuelle au sein du cabinet Walter Billet Avocats, interrogé par L'Usine Digitale. Il fait référence à la décision majeure rendue par la Cour de justice de l'Union européenne en juillet 2020, dite "Schrems II". Elle a invalidé le Privacy Shield, un texte reconnaissant que la législation américaine offrait un niveau équivalent de protection que le Règlement général sur la protection des données (RGPD).
Le Privacy Shield est ce que l'on appelle une décision d'adéquation. En son absence, les parties prenantes aux transferts de données doivent signer "des clauses contractuelles types", une sorte de contrat standardisé émis par la Commission européenne. "S'ils sont signés entre une entité européenne et une entité américaine et correctement remplis alors le transfert de données personnelles est licite", indique le juriste.
C'est sur la notion de "correctement rempli" que la Cnil vient de se positionner. "Si Google a adopté des mesures supplémentaires (…), celles-ci ne suffisent pas à exclure la possibilité d'accès à des services de renseignements américains" aux données traitées via Google Analytics, a décidé la Cnil.
La Cnil reste floue
Problème majeur : "ces mesures additionnelles ne sont pas définies" par l'autorité française, regrette l'avocat. Les entreprises ne peuvent donc pas "éprouver" en amont les mécanismes mis en place pour protéger les données dans le cadre des transferts de données vers les Etats-Unis. Elles attendent des lignes directrices fiables pour pouvoir se mettre en conformité, indique-t-il.
Mais ce n'est pas si simple en pratique, reconnaît le juriste. "C'est un immense travail car il faut faire du cas par cas, explique-t-il. Cela dépend des données transférées, de leur traitement…" Etant donné que le problème est transnational, la publication de futures lignes directrices revient plutôt au Comité européen de la protection des données (EBPD), ajoute-t-il.
L'anonymisation des données : une alternative ?
Les choses sont claires : les entreprises doivent donc cesser de recourir à Google Analytics "dans les conditionnelles actuelles", conclut la Cnil. Une seconde voie semble être possible : "l'anonymisation des données" qui permet de sortir du champ d'application du RGPD, explique le juriste. Or, cette méthode requiert des garanties techniques : l'identification de la personne doit être impossible et de "manière irréversible", d'après la Cnil. De plus, c'est le caractère personnel des données qui constitue le coeur du fonctionnement de Google Analytics.
L'autorité française ne compte pas s'arrêter là. Elle a lancé d'autres mises en demeure à l'encontre de gestionnaires de sites web utilisant Google Analytics. Elle rappelle également que son enquête, menée avec ses homologues européens, s'étend à d'autres outils utilisés par des sites et qui donnent lieu à des transferts de données d'internautes européens vers les Etats-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement, prévient-elle.
L'association française Interhop, qui promeut, développe et met à disposition des logiciels libres pour la santé, a notamment sollicité la Cnil sur la problématique de l'utilisation de Google Analytics par des entreprises de l'e-santé. "En voici une liste non exhaustive : Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc, Maiia...", détaillait l'association dans un courrier datant du 29 janvier 2022.
Du protectionnisme déguisé
L'utilisation de services américains par des entreprises et organismes publics européens semble de plus en plus compromise. En mai dernier, la Cnil avait demandé aux établissements de l'enseignement supérieur de la recherche de ne plus utiliser d'outils collaboratifs proposés par des entreprises américaines, craignant pour la confidentialité des données. Nadi Bou Hanna, le directeur interministériel du numérique, avait déclaré de son côté que l'offre Microsoft 365 (anciennement Office 365) n'était pas conforme à la doctrine gouvernementale "Cloud au centre".
Cette situation pousse donc les entreprises et entités publiques à migrer vers des solutions commercialisées par des acteurs français ou européens. Sauf si un nouveau Privacy Shield est finalement adopté, auquel cas le cadre juridique changera de nouveau. Un accord ne devrait néanmoins pas être trouvé dans les prochains mois étant donné l'ampleur du chantier du côté de Washington pour que Bruxelles accepte un nouveau texte.
Les contrats de licences franco-américains, une solution ?
Autre possibilité : les futures licences accordées aux géants américains par des entreprises françaises, sur le modèle de Thales et Google ou Microsoft et Orange. Elles devraient, d'après le gouvernement, protéger les données des lois américaines. Là encore, le doute est largement permis.
Interrogé sur ce sujet par L'Usine Digitale, le secrétaire d'Etat Cédric O avait admis que la situation technico-juridique était particulièrement complexe mais refusait d'obliger les entreprises à se tourner exclusivement vers des acteurs français. "Il revient aux grands groupes français de faire leur choix entre OVHcloud, Outscale ou de passer par une coentreprise de Microsoft, Capgemini et Orange. C’est leur décision", arguait le secrétaire d'Etat. Peut-être plus pour longtemps…
SUR LE MÊME SUJET
La Cnil dit non à l'utilisation de Google Analytics
Tous les champs sont obligatoires
0Commentaire
Réagir