(Français) DONNÉES PERSONNELLES & GOOGLE ANALYTICS

Sorry, this entry is only available in French.

DONNÉES PERSONNELLES & GOOGLE ANALYTICS : L’usage de Google Analytics par les gestionnaires de sites web français est remis en cause par la CNIL en raison des transferts hors Union européenne réalisés.  (CNIL, Communiqué « Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web », 10 février 2022).

Service du géant américain Google, Google Analytics est une fonctionnalité d’analyse d’audience incontournable pour les gestionnaires de site internet. Cet outil permet, en effet, de mesurer la fréquentation d’un site en attribuant un identifiant unique à chaque visiteur et en l’associant à des données. Ces dernières sont ensuite analysées et transférées vers les États-Unis. Aujourd’hui, en raison de ces transferts, l’usage de cet outil est remis en cause au niveau européen pour défaut de conformité au RGPD.

Dans son communiqué, la CNIL rappelle tout d’abord que les transferts de données entre les États-Unis et l’Union européenne doivent faire l’objet d’un encadrement spécifique depuis l’invalidation du Privacy Shield par la Cour de Justice de l’Union européenne par l’arrêt « Schrems II » du 16 juillet 2020. Dans sa mise en demeure anonymisée, la CNIL insiste donc sur les garanties appropriées à fournir concernant l’obligation d’encadrer les transferts de données personnelles hors de l’Union Européenne, avec les clauses types mais aussi les garanties supplémentaires. Dans le cas de Google, le prestataire américain doit garantir la sécurité des transferts et notamment exclure l’accès des services de renseignements américains à ces données personnelles. Or, la CNIL considère que ces garanties ne sont pas assurées dans le cadre de Google Analytics.

En effet, la mise en demeure ne relève aucune mesure aboutissant concrètement à empêcher ou réduire l’accès des services de renseignements américain. L’argument de Google relatif à la mise en place d’une pseudonymisation des données est refusé en ce que le processus permet tout de même l’individualisation des utilisateurs. De même, la CNIL réfute aussi l’argument de l’anonymisation en ce que cette mesure est proposée en option par Google et non applicable à tous les transferts. De plus, Google ne précise jamais si cette mesure se déroule avant son transfert aux États-Unis. Ainsi, en raison de ces transferts, les traitements réalisés par Google Analytics comportent un risque pour les utilisateurs et ne peuvent donc pas être considérés comme conformes au RGPD.

La CNIL a donc mis en demeure le gestionnaire de site utilisant Google Analytics de mettre en conformité ces traitements dans un délai d’un mois. Parmi les solutions proposées par la CNIL dans son communiquer pour remédier à ce défaut de conformité, nous pouvons retenir notamment l’arrêt simple de l’usage de Google Analytics dans les conditions actuelles par le gestionnaire, l’utilisation d’un autre outil n’entraînant pas de transferts hors U.E ainsi que l’usage de données statistiques anonymes pour les finalités de statistiques.

Cette décision s’inscrit dans une mouvance générale européenne visant la remise en cause de certains prestataires américains et particulièrement Google. Ainsi, dès le 22 décembre 2021, la CNIL autrichienne s’est positionnée aussi dans ce sens sur Google Analytics, considérant que le cryptage des données par Google n’était une garantie suffisante puisqu’il en détient la clé de déchiffrement. De même, le 5 janvier 2022, le Contrôleur Européen de la protection des données a sanctionné le Parlement pour son usage de Google Analytics sans garanties additionnelles. La question de la licéité de l’usage des outils des prestataires américains et particulièrement des GAFA devrait donc être une actualité de premier plan pour l’année à venir.

Share this post: Facebook Twitter LinkedIn

(Français) DONNÉES PERSONNELLES & COURRIERS PROFESSIONNELS

Sorry, this entry is only available in French.

DONNÉES PERSONNELLES & COURRIERS PROFESSIONNELS : La CNIL est venue préciser les critères qui permettent à un employeur de concilier le droit d’accès d’un salarié à des courriers professionnels et le respect des droits des tiers (CNIL, Communiqué « Le droit d’accès des salariés à leurs données et aux courriers professionnels », 5 janvier 2022).

Pour mémoire, toute personne dispose, en vertu de l’article 15 du RGPD, d’un droit d’accès à ses données personnelles qui lui permet de demander à un organisme la communication des données qu’il détient sur elle et d’en obtenir une copie. Cette communication est toutefois soumise à plusieurs conditions et ne doit pas, en particulier, porter une atteinte disproportionnée aux droits d’autrui (notamment au secret des affaires, aux droits de propriété intellectuelle et au droit à la vie privée).

Les critères d’appréciation d’une telle atteinte, dans le cas de la réponse par un employeur à la demande d’un salarié d’accéder à des courriels professionnels, c’est-à-dire à leurs métadonnées et à leur contenu, ont récemment été définis par la CNIL. Celle-ci opère une distinction selon que le demandeur est (i) l’expéditeur ou le destinataire de ces courriels ou (ii) seulement mentionné dans leur contenu.

Lorsque le salarié est l’expéditeur ou le destinataire des courriels professionnels demandés et qu’il a eu ou est supposé avoir eu connaissance des informations qui y sont contenues, leur communication est présumée respectueuse des droits des tiers et l’employeur ne peut pas, en principe, s’y opposer. Par exception, si la communication présente un risque réel pour les droits des tiers et que l’anonymisation des données concernées ne permet pas d’écarter ce risque, l’employeur peut refuser la demande d’accès, à condition toutefois d’en justifier.

Il en va différemment si le salarié demande la communication de courriels professionnels dans lesquels il est seulement mentionné. La CNIL préconise de s’assurer que les moyens à mettre en œuvre pour identifier les courriels demandés n’entraînent pas d’atteinte disproportionnée aux droits des tiers et si tel est le cas, le demandeur doit être invité à préciser sa demande. En cas de refus de ce dernier, l’employeur peut s’opposer à la demande d’accès, sous réserve d’en justifier. En revanche, si les indications fournies par le salarié permettent d’identifier les courriels demandés, l’employeur ne doit communiquer, après anonymisation, que ceux qui ne portent pas atteinte aux droits d’autrui. Dans ces conditions, la réponse à une demande d’accès d’un salarié à des courriels professionnels suppose une analyse au cas par cas de la nature des informations contenues dans lesdits courriels.

Share this post: Facebook Twitter LinkedIn