En Février dernier, la CNIL avait mis en demeure un certain nombre d’organismes utilisant Google Analytics et transférant des données personnelles vers les États-Unis en violation de l’arrêt Schrems II.

En effet, le 16 juillet 2020, la Cour de justice de l’Union européenne avait invalidé le Privacy Shield, qui encadrait les transferts de données entre l’Union européenne et les États-Unis car il n’offrait pas de garanties appropriées face au risque d’accès illicite d’autorités américaines aux données personnelles de résidents européens.

Google avait alors tenté de mettre en place des mesures et garanties supplémentaires afin de rendre son outil Google Analytics en règle avec le RGPD.  Malheureusement, la CNIL a considéré que les mesures supplémentaires proposées par Google n’étaient pas suffisantes pour garantir une réelle conformité.

Google Analytics étant utilisé sur la majorité des sites internet en Europe, cette situation est devenue un vrai casse-tête pour les éditeurs de sites internet et leurs agences web.

Afin de clarifier la situation pour les responsables de traitement concernés, la CNIL vient de publier une questions-réponses sur la conformité de l’utilisation de Google Analytics et un guide pratique de mise en conformité au RGPD des outils de mesure d’audience des sites internet. Les organismes mis en demeure par la CNIL ont eu jusqu’au mois de juillet 2022 pour se mettre en conformité.

 

Quelles-sont les principales conclusions de la CNIL sur la conformité RGPD de Google Analytics ?

Est-ce que l’utilisation des clauses contractuelles types et des garanties supplémentaires proposées par Google sont suffisantes ?

La CNIL considère qu’à elles seules, ces mesures ne peuvent pas assurer un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si ce droit d’accès est prévu par des lois locales, ce qui est le cas des États-Unis.

La CNIL a aussi jugé insuffisantes les mesures supplémentaires d’ordre juridique, organisationnel et technique, mise en place par Google afin d’assurer la protection effective des données personnelles d’utilisateur européens transférées aux États-Unis, en particulier contre des demandes d’accès aux données par les services de renseignement.

Peut-on paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne ?

La CNIL estime que non en l’état actuel des choses.  En effet, Google a indiqué que toutes les données collectées par le biais de Google Analytics étaient hébergées aux États-Unis.

Aussi la CNIL souligne que même en l’absence de transfert, le recours à des solutions proposées par des sociétés soumises aux juridictions Etats-Uniennes est susceptible de poser des difficultés en matière d’accès aux données.  En effet, Google peut être obligé par les autorités américaines de divulguer des données personnelles hébergées sur leurs serveurs situés dans l’Union-européenne. Or dans le contexte de l’invalidation du Privacy Shield par la CJUE, la CNIL rappelle que ces divulgations ne sont plus conformes aux conditions prévues par l’article 48 de RGPD.

Peut-on paramétrer Google Analytics afin de ne transférer vers les États-Unis que des données anonymes ?

Dans le cadre de la mise en demeure, Google a indiqué utiliser des mesures de pseudonymisation, mais non d’anonymisation. Or ceci pose un problème, car les données pseudomysées peuvent potentiellement permettre de réidentifier un individu lorsqu’elles sont couplées à des identifiants uniques et/ou d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

La CNIL rappelle par ailleurs que la collecte de l’adresse IP couplée avec les outils marketing de Google peut permettre de tracer l’historique de navigation de la majorité des internautes sur une grand nombre de sites web.

Quant à la possibilité d’anonymiser les adresses IP proposée par Google, celle-ci n’est pas applicable à tous les transferts. Autre souci souligné par la CNIL, les éléments fournis par Google ne permettent pas de déterminer si l’anonymisation des adresses IP a lieu avant le transfert aux États-Unis ou non.

 

Alors, comment faire pour être en règle avec le RGPD quand on utilise Google Analytics sur son site web ?

En résumé, des solutions sont possibles, mais compliquées à mettre en place et potentiellement coûteuses.

Est-ce que le chiffrement des données pourrait-il être une garantie supplémentaire suffisante ?

La mise en place de chiffrement de données par Google s’est avérée une mesure technique insuffisante car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles.

Est-il possible de continuer à transférer des données via Google Analytics avec le consentement explicite des personnes ?

La CNIL estime que les dérogations possibles prévues par l’article 49 du RGPD ne sont pas applicables. En effet, les dérogations ne sont utilisables que pour des transferts non systématiques, et ne peuvent constituer une solution pérenne et de long terme, le recours à une dérogation ne pouvant pas devenir la règle générale.

Peut-on utiliser la méthode de la proxyfication afin d’être conforme ?

La proxyfication permet, lorsqu’elle est bien configurée, de n’envoyer que des données pseudonymisées à un serveur situé en dehors de l’Union européenne. La CNIL insiste que seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Il s’agit donc, au-delà de la simple absence de requête depuis le terminal de l’utilisateur vers les serveurs de l’outil de mesure, de s’assurer que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne, même en prenant en compte les moyens conséquents dont disposent les autorités susceptibles de vouloir procéder à une telle réidentification

La CNIL rappelle qu’il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021.

 

Une solution plus sûre, utiliser des outils de mesure d’audience alternatifs autres que Google Analytics ?

La CNIL a publié une liste d’outils de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés.

Cette liste regroupe les outils qui ont d’ores et déjà démontré à la CNIL qu’ils peuvent être paramétrés afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, et ainsi ne pas requérir le consentement de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés.

Cette liste n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux, notamment les conséquences de l’arrêt « Schrems II ».

Au souci de taille, beaucoup de ces outils de mesure d’audience alternatifs sont payants contrairement à Google Analytics dont les principales fonctionnalités sont mises à disposition gratuitement par Google. De plus, Google Analytics est intégré aux autres outils Google largement utilisés par les entreprises et leurs agences web. Donc la mise en place d’outils alternatifs peut potentiellement poser des soucis opérationnels et budgétaires aux responsables de traitement.

Certains organismes seront donc tentés d’avoir une approche par le risque et/ou d’attendre la mise en place d’un nouveau « privacy shield » qui devrait redonner une base légitime aux transferts de données personnelles vers les États-Unis.

La CNIL a pourtant mis en garde les organismes contre cette approche par le risque dans son document Questions & Réponses.

Affaire à suivre…

Lien vers le document CNIL : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics