CNIL vs Google Analytics : quel impact en France ?

Cela ne vous aura certainement pas échappé, le 10 février dernier, la CNIL a mis en demeure un gestionnaire de site web suite à son utilisation de Google Analytics. Alors, pourquoi une telle décision ? Quel impact sur les utilisations de cet outil en France ? Je vous donne mon analyse dans cet article.

Avant de m’attaquer à l’analyse de la mise en demeure de la CNIL sur l’utilisation de Google Analytics, j’aimerais rappeler que:

1° l’utilisation de cookies et le recueil de données à caractère personnel pour l’analyse de fréquentation des sites ne sont pas interdits en soi. Ces traitements sont conditionnés au recueil du consentement de l’internaute. Sans son accord, le traitement de ces statistiques est interdit.

2° l’anonymisation des statistiques de fréquentation des sites n’est pas un objectif absolu. L’utilisation des données à caractère personnel est possible sous condition de recueillir l’accord de la personne. Néanmoins, si l’anonymisation des statistiques est possible au regard de la finalité du traitement, alors la mettre en œuvre simplifie les choses, car exempte de fait, le traitement de consentement.

Que faut-il comprendre dans la décision de la CNIL ?

Ceci étant rappelé, que faut-il comprendre dans la décision de la CNIL de mettre en demeure un gestionnaire de site web « de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil » ? 

Les outils d’analyse de fréquentation des sites, quels qu’ils soient, recueillant des données personnelles ET transférant ces données vers les Etats-Unis sont devenus illégaux. Cette conclusion est conséquente d’un raisonnement juridique faisant référence à la décision majeure rendue par la Cour de Justice de l’Union Européenne en juillet 2020, dite « Schrems II », qui a invalidé le Privacy Shield, texte de la législation américaine qui offrait un niveau de protection adéquat au regard du RGPD.

Depuis « Schrems II », nombre de traitements ont été plongés dans une zone de flou juridique. Pour rendre légaux ces traitements, tombés du jour au lendemain dans l’illégalité, les parties prenantes aux transferts de données doivent signer des « Clauses Contractuelles Types », contrats standardisés émis par la Commission européenne, qui ont été actualisées en juin 2021. Mais ce n’est pas suffisant, la CNIL précise que « le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux ». Ainsi, des mesures complémentaires doivent être mises en œuvre garantissant un niveau de protection équivalent aux exigences européennes. Or, dans le cas de Google Analytics, la CNIL indique que « si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.« 

Néanmoins, dans son avis, la CNIL ne dit pas clairement que le paramétrage de Google Analytics pour l’anonymisation des données n’est pas valable. Elle indique que Google Analytics utilise « un identifiant unique qui est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis. » Mais, est-ce que le paramétrage de Google Analytics pour l’anonymisation des données permet de ne pas mettre en œuvre cet identifiant ? Nous pouvons en douter car la recommandation serait sans doute clairement dite. Pourtant, Google a lancé en octobre 2020 une refonte de Google Analytics avec notamment une importante mise à jour de la confidentialité pour aider à fonctionner sans cookies et autres identifiants sur les sites web et les applications. Ne serait-ce toujours pas suffisant ?

Quelles sont donc les mesures à mettre en œuvre pour garantir les traitements avec Google Analytics ?

« Dans les conditions actuelles« , il faudrait arrêter d’utiliser Google Analytics tel qu’il est configuré à date. Ou bien attendre une adaptation technique de la part de Google ? Ce qui sauverait idéalement l’activité des entreprises, serait une évolution du cadre juridique des transferts des données vers les Etats-Unis. Mais pour cela, les Etats-Unis devraient revenir sur la loi du Patriot Act qui autorise les services de renseignements américains à accéder aux données personnelles hébergées par les entreprises américaines. En tout cas, la CNIL reste floue indiquant seulement que « des mesures correctrices à ce sujet pourraient être adoptées prochainement. » Devrions-nous attendre ?

Toujours est-il que la CNIL demande de mettre, dans un délai d’un mois, « en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE« . La plateforme de Google n’est donc pas la seule qui pose problème, car cela comprend « d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les Etats-Unis« . De plus, la CNIL recommande une anonymisation des données issues de ces outils « permettant ainsi une exemption de consentement si [nous nous assurons] qu’il n’y a pas de transferts illégaux« . A chaque recommandation, la CNIL ajoute un flou, et quand il y a un flou…

Et pour ajouter à ce flou ambiant, je complèterais en rappelant que, dans son article 49, le RGPD nous offre une possibilité d’effectuer des transferts vers des pays tiers en l’absence de décision d’adéquation à condition que « la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées« . Nous pourrions donc poursuivre l’utilisation de Google Analytics après avoir recueilli l’accord des personnes en ayant préalablement donné toutes les informations pour expliquer la situation. Bien évidemment, je ne considère pas cette solution comme pertinente dans ce cas. Je m’interroge néanmoins sur le fait que la CNIL ne fait jamais référence à cette mesure possible, dans son combat sur les transferts de données à caractère personnelles vers les Etats-Unis, et particulièrement Google.

Ce que je peux vous conseiller, en plus des rappels faits en introduction, si vous devez mettre en œuvre des outils de mesure d’audience exempté de consentement, d’utiliser les outils recommandés par la CNIL au lien suivant : Cookies : solutions pour les outils de mesure d’audience | CNIL. Si vos outils sont déjà paramétrés, vous avez deux options : attendre d’en savoir plus, en effet, Google a précisé qu’une communication sera apportée « dans les semaines à venir » à ce sujet ; ou commencer dès maintenant la mise en place d’un nouvel outil en remplacement de Google Analytics.

>> Si vous avez besoin de plus de conseils sur la mise en conformité RGPD de vos données, n’hésitez pas à me contacter.