Google Analytics : la CNIL sévit à son tour

Clément Bohic,
Google Analytics CNIL

Dans le cadre d’un dossier d’envergure européenne, la CNIL emboîte le pas à son homologue autrichienne en déclarant la non-conformité de Google Analytics vis-à-vis du RGPD.

Auchan, Decathlon ou Sephora* ? L’un des trois a écopé d’une mise en demeure de la CNIL. Motif : un usage de Google Analytics non conforme au RGPD.

Cette décision s’inscrit dans un dossier de dimension européenne. À la source, il y a de multiples plaintes de l’association militante NOYB (None of Your Business). 101 en l’occurrence, déposées en août 2020 dans 30 pays (l’UE des 27 et trois membres de l’Espace économique européen).

Ces plaintes visent autant d’entreprises qui exploitent, sur leurs sites web, soit Google Analytics, soit Facebook Connect. Les contrats d’utilisation de ces produits impliquent des transferts de données vers les États-Unis. NOYB estime qu’il s’agit de données à caractère personnel… et qu’elles tombent ainsi sous le coup du RGPD.

Le RGPD impose d’assurer, dans le cadre de tels transferts, un niveau de protection adéquat des données concernées. Plusieurs mécanismes permettent aux parties prenantes d’en attester. Entre l’UE et les États-Unis, il y eut notamment le Safe Harbor, entré en vigueur en l’an 2000. Il s’agissait d’un ensemble de principes auxquels les entreprises américaines pouvaient se soumettre. On pouvait alors leur transférer librement des données personnelles.

Privacy Shield et clauses contractuelles types

En octobre 2015, la Cour de justice de l’Union européenne avait invalidé le Safe Harbor. Avec, en toile de fond, les révélations d’Edward Snowden. Un autre ensemble de principes avait pris le relais en 2016 : le Privacy Shield. Deux ans plus tard, la CJUE l’invalidait également.

Aucun successeur n’a encore émergé, en dépit de discussions. En attendant, les clauses contractuelles types se sont imposées comme le principal mécanisme alternatif.

Qui dit « contractuel » dit que la législation des pays en question s’applique en priorité. Ainsi, en fonction de cette législation et/ou des pratiques en vigueur, il peut être nécessaire de prendre des mesures « complémentaires » pour assurer un niveau de protection adéquat. Difficile d’échapper à la question aux États-Unis, où le FISA (Foreign Intelligence Surveillance Act) donne beaucoup de latitude aux agences de renseignement.

Ces mesures complémentaires peuvent être de nature juridique, organisationnelle ou technique. Sur le premier volet, Google affirme, entre autres :

– Évaluer systématiquement les requêtes d’autorités gouvernementales
– Notifier – sauf en cas d’urgence ou d’obligation légale – les personnes concernées avant de communiquer leurs données
– Publier des « rapports de transparence » attestant des requêtes à son adresse et de leur traitement effectif

Les mesures techniques que le groupe américain met en avant portent essentiellement sur :

– La protection des données en repos et au transit grâce au chiffrement
– La sécurité physique de ses datacenters (clôtures, SOC, contrôle des accès…)
– Une limitation des accès aux données

Google estime par ailleurs que les données que fait remonter Analytics ne sont pas à caractère personnel, mais pseudonymes. NOYB n’est pas de cet avis et l’a fait savoir dans ses plaintes. Un argument validé par le DSB (Datenschutzbehörde). L’homologue autrichien de notre CNIL considère que les adresses IP et les informations qu’Analytics collecte à l’appui de cookies permettent d’identifier des individus. Cette capacité, ajoute-t-il, transparaît dans le mécanisme d’opt-in/opt-out que le groupe américain propose pour la publicité ciblée.

Pression paneuropéenne sur Google Analytics

Le DSB ne s’est pas arrêté là. Il a rendu, en janvier, une décision formelle établissant la non-conformité de Google Analytics vis-à-vis du RGPD. De son avis, l’efficacité des mesures complémentaires sus-évoquées n’est pas manifeste face aux velléités des services de renseignement. D’autant plus que Google est une cible privilégiée, en tant que fournisseur de services de communication électronique.

La plainte dont découle la décision du DSB concerne un site sur le thème de la santé. Aux termes du RGPD, son gestionnaire, utilisateur d’Analytics, est contrôleur et exportateur. Google est sous-traitant importateur. Les transferts sont régis par des clauses contractuelles types.

Le DSB l’a confirmé : dans cette affaire, le RGPD ne s’applique qu’à l’exportateur, seul localisé dans l’UE. La sanction ne touche donc pas Google, mais le gestionnaire du site.
Même raisonnement pour la CNIL. Qui a donné un mois à l’incriminé pour régulariser sa situation. Éventuellement en recourant à un outil qui n’entraîne pas de transferts hors UE.

Vu le périmètre de l’action de NOYB, on peut s’attendre à des décisions en cascade. À plus forte raison si on considère que le CEPD (Contrôleur européen de la protection des données) a constitué un groupe de travail entre CNIL pour traiter les plaintes.

* La CNIL est destinataire de ces trois plaintes impliquant Google Analytics. Elle en a reçu trois autres, portées quant à elles sur Facebook Connect. Cibles : Le Huffington Post, Leroy Merlin et Free Mobile.

Photo d’illustration © Foto-Ruhrgebiet – Shutterstock