Jeudi 10 février 2022, la CNIL a publié un communiqué indiquant la mise en demeure du gestionnaire d’un site Web français – dont le nom n’a pas été dévoilé – liée à l’utilisation de Google Analytics (GA) et au transfert vers les États-Unis de données personnelles de citoyens européens qui en résulte.
Cette fois-ci, le sujet n’a rien à voir avec la collecte du consentement. On va parler dans cet article d’hébergement et transfert de données personnelles de citoyens Européens (y compris des identifiants) vers les Etats-Unis.
Les faits
Le point de départ est une plainte de l’association NOYB ayant débouché sur l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020. Cet arrêt a invalidé le Privacy Shield, et depuis cette date, il n’y a plus de cadre juridique sécurisant simplement le transfert de données de l’UE vers les États-Unis.
Or le cas particulier des États-Unis est que les services de renseignement US ont (potentiellement) un droit d’accès total aux données hébergées par des sociétés de droit américain.
La CNIL considère, suite à une seconde plainte, en coordination avec les autres autorités de régulation européennes, que le transfert de données personnelles via Google Analytics vers les États-Unis expose à un risque d’accès par les services de renseignement américains, et estime à cette occasion que les mécanismes de protection mis en œuvre dans Google Analytics sont insuffisants :
“Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.”
Quelles conséquences ?
Les gestionnaires de site utilisant Google Analytics pourraient dès lors être tenus pour responsables d’un défaut de protection de données personnelles collectées via GA et transmises aux États-Unis (note : l’Id interne de Google Analytics, le “ClientID”, qui est pourtant pseudonyme, est considéré comme une donnée personnelle. Ainsi même si l’éditeur du site n’enregistre aucune information personnelle additionnelle dans GA, il est tout de même concerné).
A ce stade, la plainte de l’association NOYB et la mise en demeure de la CNIL ne concernent que Google Analytics et Facebook. Mais la CNIL précise :
“L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis.”
En clair, c’est donc tout l’écosystème de partage de données entre l’UE et les Etats Unis qui est concerné et pas uniquement Google Analytics. Tous les grands réseaux sociaux, plateformes collaboratives, outils CRM, solutions Cloud, plateformes e-commerce, … sont potentiellement concernés si le sous-traitant est américain et / ou que lui ou un de ses propres sous-traitants hébergeant les données sont américains.
Google Analytics et Facebook étant les acteurs les plus emblématiques, ils ont été choisis comme cible par l’association NOYB. Son objectif est notamment de faire avancer les négociations entre la Commission Européenne et les EU et sortir du vide juridique actuel.
C’est d’ailleurs le sens de la réaction de NOYB suite au communiqué de la CNIL :
“Either the US adapts baseline protections for foreigners to support their tech industry, or US providers will have to host foreign data outside of the United States.”
La réaction de Google
“Nous comprenons que cette décision et le contexte réglementaire concernant les transferts internationaux de données puissent soulever des questions sur la façon dont les données sont traitées lorsqu’un outil comme Google Analytics est utilisé et comment Google peut aider ses clients avec des garanties, des outils de contrôle et des ressources pour être en conformité.
Bien que nous restons convaincus que les mesures supplémentaires étendues que nous offrons à nos clients garantissent une protection effective et efficace des données, conformément aux normes et standards applicables, nous nous engageons à fournir à nos clients des outils de contrôles qui leur permettent de déterminer quelles données sont collectées et comment elles sont utilisées, leur permettant de répondre à leurs objectifs économiques et de conformité. Nous avons récemment annoncé que nous travaillons à l’ajout de contrôles supplémentaires qui permettront aux clients de personnaliser encore davantage les données qu’ils collectent à travers Google Analytics.
Les gens comptent de plus en plus sur les flux de données pour tout, depuis les achats en ligne, les voyages et les livraisons, jusqu’à la collaboration au bureau, la gestion des clients et les opérations de sécurité. Pour que celles-ci perdurent, et comme l’a souligné la CNIL dans son communiqué de presse, l’Union européenne et le gouvernement américain doivent s’accorder sur un nouveau cadre de données.”
En synthèse
- Sur le plan réglementaire, Google appelle le gouvernement américain et l’UE à s’entendre sur la mise en œuvre d’un nouveau cadre réglementaire au plus vite.
- Google étudie la mise en place de nouveaux paramétrages pour permettre aux annonceurs de protéger l’accès à ce qui pourrait être considéré comme de la donnée personnelle. Des annonces sont prévues prochainement.
Quelles options pour les éditeurs de sites français et européens ?
Sur le plan juridique, c’est le DPO et la Direction de chaque éditeur qui devront arbitrer entre le risque juridique d’un côté et l’impact business de se passer de Google Analytics et potentiellement de toutes les solutions publicitaires, réseaux sociaux, solution d’AB testing, service Cloud, CRM, …
- Concernant l’Analytics, après (seulement) quelques jours de recul sur le communiqué de la CNIL, nous constatons que :
Une large majorité de nos clients prévoit de conserver Google Analytics pour le moment, jusqu’à réception d’une éventuelle mise en demeure de la CNIL et/ou jusqu’à l’annonce par la CNIL de très nombreuses mises en demeure. Ils parient sur le fait que :
– soit l’UE et les US parviendront à un accord rapide
– soit Google mettra en œuvre une version de GA acceptable par la CNIL - Quelques clients envisagent la mise en œuvre d’un autre outil de mesure en parallèle de GA. L’objectif de ces clients est de se préparer en amont à une éventuelle mise en demeure. Il s’agit toutefois de projets significatifs, difficiles à intégrer dans les roadmaps IT, notamment pour les éditeurs ayant mis en œuvre un set up avancé de Google Analytics.
- Pour le moment, aucun de nos clients n’a décidé de débrancher Google Analytics de façon préventive pour se prémunir d’une éventuelle mise en demeure.
De notre côté, nous ne manquerons pas de vous tenir informés des évolutions fonctionnelles annoncées par Google et d’éventuelles avancées des négociations UE/US sur le sujet.
Actualités complémentaires / en savoir plus
13 janvier 2022, position de Russell Ketchum, Director, Product Management, Google Analytics: “Some facts about Google Analytics data privacy”
19 janvier 2022, position de Kent Walker, Google: “It’s time for a new EU-US data transfer framework”
18 février 2022, point de vue de Brian Clifton, consultant: “Google Analytics, Compliance and Recent GDPR Rulings”
7 mars 2022, Interview de Me Etienne Drouard, président de la commission “enjeux réglementaires” du Geste au JDN: “La Cnil récite un raisonnement juridique qui n’est pas applicable à Google Analytics”
Bon à savoir
Même si ce n’est pas l’objet central de ce mail, il est bon de rappeler que :
- Les données personnelles (nom, numéro de téléphone, mail, plaque immatriculation, etc.) n’ont pas leur place dans les données collectées dans Google Analytics, même après obtention d’un consentement explicite, du fait d’un risque d’exposition à des tiers. Leur interdiction fait l’objet d’une mention très claire dans les Termes d’utilisation de GA et de suggestions de mise en œuvre.
- La collecte de ces données est souvent un effet de bord d’implémentation technique ayant pour résultat d’exposer ces données personnelles dans les URLs et donc de les collecter dans Google Analytics ainsi que vers l’ensemble des plateformes publicitaires ayant un tag de sur ces pages. Il est essentiel d’être vigilant sur ces points car ils sont susceptibles d’augmenter votre exposition aux risques de fuites de données personnelles.