Mise en demeure de la CNIL : Google Analytics serait devenu illégal ? Pas si simple…

La CNIL a réussi son coup de communication.

Elle a publié un communiqué annonçant qu’elle avait mis en demeure un site « de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE ». Et saisi l’occasion pour communiquer sur le fait que les transferts de données pratiqués par Google Analytics (et de nombreux site américain) vers les USA sont illégaux.

Depuis la publication de ce communiqué, je vois fleurir des articles par dizaines qui annoncent que Google Analytics est illégal en France, ou le sera bientôt.

Sauf que c’est aller trop vite en besogne, et c’est inexact. Ce qui ne veut pas dire que cette annonce ne doit pas être prise au sérieux, et n’aura pas de conséquences.

Donc un peu de debunkage s’impose… Mais commençons par rappeler le contexte de cette décision.

Pb de conformité de GA avec le RGPD : Ce n’est pas nouveau

Tout d’abord, la conformité de l’usage de Google Analytics comme solution de tracking pose depuis le début un problème de conformité avec le RGPD.

Même avec un paramétrage strict, qui théoriquement vous empêche de collecter des données personnelles, il s’avère que Google collecte de son côté des données personnelles ! C’est ce qui est expliqué dans les Terms of Service que vous avez sans doute validé sans les lire.

Il est impossible d’utiliser Google Analytics en étant exempté de consentement. La position de la CNIL là dessus est claire.

Et pour GA4 ? Pour GA4, à notre connaissance, la CNIL ne s’est pas clairement positionnée. Mais GA4 ne fait pas partie non plus des solutions expressément dispensée de consentement listée sur son site. Techniquement, le problème est le même que pour le service « legacy ».

La liste des solutions dispensées de consentement peut être trouvée ici :

https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience

Et Google Analytics n’en fait pas partie.

Et le consent mode de Google Analytics ? Même chose, même avec ce mode activé, GA n’est toujours pas officiellement dispensé de consentement. Techniquement, ce mode est conçu pour permettre de respecter le RGPD, mais la CNIL ne s’est pas prononcée sur sa conformité depuis avril 2021, les experts ne sont pas d’accord sur la conformité de ce mode, et de toute façon le contexte juridique a encore changé.

Ce qui a changé la donne : l’arrêt Schrems 2 de la CJUE

Dans son communiqué, la CNIL n’utilise plus l’argumentaire habituel pour expliquer pourquoi l’usage de Google Analytics pose problème. Cette fois ci, ils parlent de transfert illégal de données personnelles vers les USA.

Jusqu’en juillet 2020, le transfert de données personnelles entre l’Europe et les USA était légal, et encadré par le Privacy Shield. Mais la Cour de Justice de l’Union Européenne a invalidé le Privacy Shield dans une décision du 16 juillet 2020. Pourquoi ? Parce que suite à une procédure engagée par Maximilien Schrems en 2013, la CJUE a statué que, puisque la loi FISA aux USA (Foreign Intelligence Surveillance Amendment Act) permet aux agences de renseignement américaines d’accéder au données hors de toute procédure européenne, le « bouclier » offert par le Privacy Shield était insuffisant pour garantir les droits des citoyens européens.

En plus de la loi FISA, la loi « Cloud Act » promulguée aux USA en 2018 a rendu la situation encore plus tendue. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de Cloud américains à fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.

Une période de flou juridique a succédé au Privacy Shield, jusqu’à ce que la commission européenne publie des clauses type pour encadrer contractuellement les transferts de données entre l’UE et les USA, en juin 2021. Suite à la publication de ces clauses, l’UE a laissé un délai de grâce aux intéressés pour changer la rédaction de leurs contrats jusqu’en septembre 2021

Le communiqué de presse sur les clauses type de transfert de données personnelles vers les USA :

https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_2847

Des négociations sont en cours entre les autorités américaines et européennes pour trouver accord qui prendrait la succession du Privacy Shield. Mais pour le moment, les négociations sont au point mort.

Max Schrems et NOYB dépose 101 plaintes

Max Schrems est à la tête d’une organisation activiste baptisée NOYB (My Data are « None of Your Business »).

Son premier fait d’armes a été de provoquer l’invalidation de l’accord Safe Harbor (l’ancêtre du Privacy Shield) en 2015.

NOYB, suite à l’arrêt Schrems 2, a déposé 101 plaintes auprès des différentes « CNIL » européennes.

101 complaints
101 plaintes, comme les 101 Dalmatiens. NOYB joue sur la référence sur la page qui annonce le dépôt de 101 recours auprès des DPA européennes.

https://noyb.eu/en/101-complaints-eu-us-transfers-filed

Ces plaintes portaient sur l’utilisation non conforme de solutions comme Google Analytics et Facebook Connect. Parmi les 101 sites épinglés, figuraient quelques sites français. NOYB a donc saisi l’Autorité de Protection des Données locale (DPA), à savoir la CNIL.

Il est clair que la mise en demeure de la CNIL fait suite à l’une de ces plaintes, l’autorité l’indique clairement dans son communiqué. La Cour de Justice Européenne a clairement statué sur le fait qu’une DPA saisie d’un cas de transfert illégal de données vers un pays hors UE était contrainte de faire appliquer la loi.

Dans ces conditions, la CNIL se devait de mettre en demeure les sites concernés pour qu’ils respectent la loi française et européenne.

La décision de la CNIL fait suite à une décision similaire de la DPA autrichienne, suite à l’une des plaintes déposées par NOYB.

La position de Google

Suite à la décision de la DSB, la « CNIL » autrichienne, le Directeur Juridique de Google a publié une réponse sur le blog de Google Analytics le 19 janvier dernier

[…]La semaine dernière, l’autorité autrichienne de protection des données a jugé que la mise en œuvre de Google Analytics par un éditeur de sites web local n’offrait pas un niveau de protection adéquat, au motif que les agences de sécurité nationale américaines ont théoriquement la possibilité d’accéder aux données des utilisateurs. Mais Google offre des services liés à Analytics à des entreprises internationales depuis plus de 15 ans et, pendant tout ce temps, n’a jamais reçu le type de demande sur lequel l’autorité de protection des données a spéculé. Et nous ne nous attendons pas à en recevoir une, car il est peu probable qu’une telle demande relève du champ d’application étroit de la loi applicable.

L’arrêt de la Cour de justice européenne de juillet 2020 n’a pas imposé une norme inflexible selon laquelle la simple possibilité d’exposition des données à un autre gouvernement exigeait l’arrêt de la circulation mondiale des données. Nous sommes convaincus que les mesures supplémentaires étendues que nous proposons à nos clients garantissent une protection pratique et efficace des données selon toute norme raisonnable.

Kent Walker
President, Global Affairs & Chief Legal Officer, Google & Alphabet

En clair, Google argumente en indiquant :

  • que le risque de diffusion aux agences et juridictions américaines est purement théorique,
  • que la portée de l’arrêt Schrems 2 ne va pas jusqu’à bloquer TOUTE circulation de données vers les USA, mais seulement certains cas
  • que les mesures supplémentaires déployées récemment (nouvelles clauses, nouvelles mesures de protection) sont suffisantes.

Il est clair que les dirigeants de la CNIL ne partage pas cette vision des choses.

Kent Walker dans le même post appelle de ses voeux un nouveau cadre juridique pour le transfert de données entre US et UE, en insistant sur le fait que la situation actuelle crée une insécurité juridique majeure pour les acteurs de l’écosystème web. Sur ce point, il est difficile de ne pas lui donner raison.

Le document qui compile les dernières mesures prises par Google pour assurer la protection des données de ses utilisateurs. Pour les curieux voici le lien pour accéder au document complet : https://services.google.com/fh/files/misc/safeguards_for_international_data_transfers.pdf

Une décision qui fait date, mais l’affaire n’est pas pliée pour Google Analytics

Le communiqué de la CNIL a suscité beaucoup de commentaires, dans la presse et ailleurs, indiquant que la CNIL estimait l’usage de Google Analytics illégal.

La réalité est beaucoup plus complexe que cela, il faut donc démêler le vrai du faux dans les affirmations.

  1. la décision de mettre en demeure n’est que le début de la procédure, et le site incriminé a encore de nombreuses voies de recours. Le site peut se mettre en conformité, ou communiquer des éléments, et la décision définitive rendue en comité restreint n’est pas intervenue. Et quand bien même le site serait finalement sanctionné qu’il pourrait déposer un recours devant le Conseil d’Etat. Et il est déjà arrivé que le Conseil d’Etat retoque les décisions de la CNIL. En tout cas, aucune sanction n’a été décidée par la CNIL à ce stade contre le site visé. Et on se sait pas encore, s’il est sanctionné, sur quelle base juridique exacte reposerait la justification de la sanction.
  2. techniquement, seul le site est poursuivi, pas l’outil Google Analytics. C’est l’usage particulier qu’en fait le site qui est visé par la décision. Si la CNIL parle dans ses commentaires de transfert illégal de données aux USA, on ne connait pas le détail des reproches adressés au site incriminé. Dans la décision de la DPA autrichienne, il est indiqué que Google LLC ne pouvait pas être poursuivi, car ils n’avaient pas eux même procédé au transfert des données, et donc Google n’avait pas violé l’article 44 du RGPD.
  3. les décisions se basent sur une nouvelle interprétation par les DPA de la législation européenne sur la protection des données. Les autorités de protection des données (après s’être concertées sur le sujet) estiment que, même si un site signe des clauses SCC conformes au recommandations de la Commission Européenne, les transferts de données vers les USA sont illégaux, en raison des lois FISA et Cloud Act. Mais les DPAs ne sont pas chargés de faire la loi, juste de la faire appliquer. Donc cette interprétation peut être contredite demain, soit par des instances juridiques supérieures, soit par une évolution du Droit Européen (ou US d’ailleurs).

Cette mise en demeure de la CNIL est donc un coup de semonce qui fera date, mais ce n’est que le début d’un feuilleton judiciaire qui commence. Car s’il est certain que les lignes vont à présent bouger, il reste à savoir lesquelles…

Que peut-il se passer ?

Google change ses conditions d’utilisation et sa gestion des données : c’est déjà acquis, car Google a fait une réponse claire à ce sujet suite à la décision de la DPA autrichienne. Mais Google ne peut pas faire changer la législation US, donc cela risque d’apparaître comme insuffisant. Mais certains usages de Google Analytics pourraient à terme redevenir légaux.

Un nouvel accord entre autorités européennes et américaines sur le transfert des données vient faire renaître le Privacy Shield : un tel accord est bel et bien en négociation. Pour le moment, les positions des uns et des autres n’ont pas l’air de converger. Mais beaucoup d’acteurs souhaitent arriver à un tel accord.

La législation européenne s’assouplit : c’est mal parti. La directive sur l’ePrivacy (dont la promulgation devrait intervenir en 2022) va encore renforcer les obligations des acteurs sur le respect de la protection des données personnelles des européens. Donc l’évolution la plus probable, c’est plus d’aller vers un durcissement que vers un assouplissement de la législation.

Une jurisprudence se met en place : on peut s’attendre à ce que la multiplication des sanctions par les DPA entraine dans les mois qui viennent un certain nombre de recours devant les juridictions d’appel et les hautes cour, et permettent d’y voir plus clair dans la manière d’appliquer le droit sur ces sujets très techniques et complexes.

En attendant, puis-je continuer à utiliser Google Analytics ?

Si, comme de très nombreux propriétaires de site, vous utilisez Google Analytics comme solution de tracking, l’annonce de la CNIL vous incitera sans doute à vous tourner rapidement vers des solutions alternatives.

Si vous utilisez Google Analytics sans consentement : vous êtes de toute façon dans l’erreur. Donc soit vous mettez rapidement votre site en conformité en anonymisant les IP, en signant les bonnes SCC etc…, soit vous resterez dans l’illégalité.

Si vous avez mis en place le mode Consentement de GA, paramétré votre compte selon les instructions de Google pour respecter le RGPD, c’est déjà beaucoup mieux. Mais nous venons d’entrer dans une période d’insécurité juridique qui peut durer des mois ou des années, pendant laquelle des sites pourront être poursuivis pour transfert illégal de données hors UE en raison de l’usage de Google Analytics.

Donc soit vous avez les reins solides, de bons avocats et l’envie d’en découdre avec les DPA européennes, quitte à ce que votre cas fasse jurisprudence. Dans ce cas, garder Google Analytics comme solution de tracking est une option.

Dans les autres cas, mieux vaut suivre le vieil adage « better safe than sorry ». Et basculer vers une solution européenne compatible avec une exemptio de consentement, ce qui en rend l’usage beaucoup plus simple, même si c’est plus coûteux.

Mais s’abonner à Piwik Pro (par exemple) coûtera moins cher qu’un recours devant le Conseil d’Etat..

Laisser un commentaire