DONNÉES PERSONNELLES & GOOGLE ANALYTICS : L’usage de Google Analytics par les gestionnaires de sites web français est remis en cause par la CNIL en raison des transferts hors Union européenne réalisés. (CNIL, Communiqué « Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web », 10 février 2022).
Service du géant américain Google, Google Analytics est une fonctionnalité d’analyse d’audience incontournable pour les gestionnaires de site internet. Cet outil permet, en effet, de mesurer la fréquentation d’un site en attribuant un identifiant unique à chaque visiteur et en l’associant à des données. Ces dernières sont ensuite analysées et transférées vers les États-Unis. Aujourd’hui, en raison de ces transferts, l’usage de cet outil est remis en cause au niveau européen pour défaut de conformité au RGPD.
Dans son communiqué, la CNIL rappelle tout d’abord que les transferts de données entre les États-Unis et l’Union européenne doivent faire l’objet d’un encadrement spécifique depuis l’invalidation du Privacy Shield par la Cour de Justice de l’Union européenne par l’arrêt « Schrems II » du 16 juillet 2020. Dans sa mise en demeure anonymisée, la CNIL insiste donc sur les garanties appropriées à fournir concernant l’obligation d’encadrer les transferts de données personnelles hors de l’Union Européenne, avec les clauses types mais aussi les garanties supplémentaires. Dans le cas de Google, le prestataire américain doit garantir la sécurité des transferts et notamment exclure l’accès des services de renseignements américains à ces données personnelles. Or, la CNIL considère que ces garanties ne sont pas assurées dans le cadre de Google Analytics.
En effet, la mise en demeure ne relève aucune mesure aboutissant concrètement à empêcher ou réduire l’accès des services de renseignements américain. L’argument de Google relatif à la mise en place d’une pseudonymisation des données est refusé en ce que le processus permet tout de même l’individualisation des utilisateurs. De même, la CNIL réfute aussi l’argument de l’anonymisation en ce que cette mesure est proposée en option par Google et non applicable à tous les transferts. De plus, Google ne précise jamais si cette mesure se déroule avant son transfert aux États-Unis. Ainsi, en raison de ces transferts, les traitements réalisés par Google Analytics comportent un risque pour les utilisateurs et ne peuvent donc pas être considérés comme conformes au RGPD.
La CNIL a donc mis en demeure le gestionnaire de site utilisant Google Analytics de mettre en conformité ces traitements dans un délai d’un mois. Parmi les solutions proposées par la CNIL dans son communiquer pour remédier à ce défaut de conformité, nous pouvons retenir notamment l’arrêt simple de l’usage de Google Analytics dans les conditions actuelles par le gestionnaire, l’utilisation d’un autre outil n’entraînant pas de transferts hors U.E ainsi que l’usage de données statistiques anonymes pour les finalités de statistiques.
Cette décision s’inscrit dans une mouvance générale européenne visant la remise en cause de certains prestataires américains et particulièrement Google. Ainsi, dès le 22 décembre 2021, la CNIL autrichienne s’est positionnée aussi dans ce sens sur Google Analytics, considérant que le cryptage des données par Google n’était une garantie suffisante puisqu’il en détient la clé de déchiffrement. De même, le 5 janvier 2022, le Contrôleur Européen de la protection des données a sanctionné le Parlement pour son usage de Google Analytics sans garanties additionnelles. La question de la licéité de l’usage des outils des prestataires américains et particulièrement des GAFA devrait donc être une actualité de premier plan pour l’année à venir.