Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics

Le contexte

Le 16 juillet 2020, la Cour de justice de l’Union européenne a rendu un arrêt majeur : le Privacy Shield, qui encadrait les transferts de données entre l’Union européenne et les États-Unis a été invalidé car il n’offrait pas de garanties appropriées face au risque d’accès illicite d’autorités américaines aux données personnelles de résidents européens.

Seule la mise en place de mesures techniques, juridiques et organisationnelles de protection supplémentaires par les organismes pour empêcher de tels accès pourrait, en pratique, permettre de tels transferts.

En août 2020, l’association NOYB a déposé 101 plaintes aux différentes autorités de protection des données européennes concernant des sites web utilisant notamment l’outil d’analyse d’audience Google Analytics, très répandu, dont la société mère est située aux États-Unis.

La décision

Dans la mise en demeure rendue publique le 10 février 2022 concernant un de ces organismes, la CNIL a estimé que :

• les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ;
• les données d’internautes européens sont donc transférées illégalement par le biais de cet outil.

L’une des mises en demeure relative à l’utilisation de Google Analytics a été mise en ligne de façon anonymisée sur le site de la CNIL le 16 février 2022.

La décision a été anonymisée car il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu.

L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité.

Les organismes mis en demeure disposent d’un délai d’un mois pour se mettre en conformité et justifier cette conformité auprès de la CNIL. Ce délai d’un mois peut être renouvelé, à la demande des organismes concernés.

Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD.

Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité.

Afin d’harmoniser les décisions et d’offrir de la sécurité juridique aux acteurs, les autorités européennes saisies de plaintes par l’association NOYB (none of your business en anglais) sur le sujet des transferts par Google Analytics se sont organisées en groupe de travail pour examiner ensemble les questions juridiques soulevées dans ces dossiers et coordonner leurs positions et décisions.

La décision de la CNIL n’est ainsi pas la première au niveau européen : un mois avant la CNIL, l’autorité de la protection des données autrichienne a rendu en janvier une première décision qui va dans le même sens que celle de l’autorité française.

Toutes les plaintes déposées par l’association NOYB dont a été saisie la CNIL ont fait l’objet d’une instruction coordonnée : cependant, les situations ont été examinées au cas par cas et en fonction des réponses apportées par les organismes.

Tous les organismes en France dont l’utilisation de Google Analytics était visée par les plaintes de noyb ont désormais fait l’objet de mises en demeure.

Les organismes mis en demeure avaient établi avec Google des clauses contractuelles types, que Google propose par défaut aux utilisateurs de cette solution. Ces clauses contractuelles types ne peuvent, à elles seules, assurer un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévue par des lois locales.

Dans sa réponse aux demandes de la CNIL, Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens.

Non.

En réponse au questionnaire envoyé par la CNIL, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux États-Unis.

Même en l’absence de transfert, le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d’accès aux données. En effet, les organismes peuvent être obligés par des autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne.

L’article 48 du RGPD limite ces divulgations aux seuls cas où le pays tiers demandeur et l’Union européenne ou l’État membre concerné sont parties d’un accord international prévoyant de telles communications.

Dans le cadre de la mise en demeure, Google a indiqué utiliser des mesures de pseudonymisation, mais non d’anonymisation. Google propose bien une fonction d’anonymisation des adresses IP, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux États-Unis.

Par ailleurs, la seule utilisation d’identifiants uniques permettant de différencier les individus peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation. Ces données permettent un suivi précis des utilisateurs, dans certains cas sur plusieurs appareils distincts. Si la CEPD admet dans ses recommandations du 18 juin 2021. la possibilité d’usage de la pseudonymisation en tant que mesure supplémentaire, son usage est soumis à une analyse visant à s’assurer que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne, même en prenant en compte les moyens conséquents dont disposent les autorités susceptibles de vouloir procéder à une telle réidentification.

Enfin, l’utilisation conjointe de Google Analytics avec d’autres services de Google, notamment de marketing, peut amplifier le risque de suivi. En effet, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites.

Oui, mais à certaines conditions.

La mise en place de chiffrement de données par Google s’est avérée une mesure technique insuffisante car Google LLC procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Google LLC conservant la possibilité d’accéder aux données des personnes physiques en clair, de telles mesures techniques ne peuvent être considérées comme efficaces en l’espèce (voir les recommandations du Comité européen de la protection des données sur les mesures complémentaires aux transferts, point 85).

Le chiffrement est donc une garantie supplémentaire insuffisante si l’organisme soumis aux demandes des autorités états-uniennes peut accéder aux données personnelles en clair.

Afin que le chiffrement soit considéré comme une garantie supplémentaire suffisante, les clés de chiffrement devraient notamment être conservées sous le contrôle exclusif de l’exportateur de données, ou d’autres entités établies dans un territoire offrant un niveau de protection adéquat (voir les recommandations 01/2020 du Comité européen de la protection des données, point 84).

Aucune des garanties supplémentaires présentées à la CNIL dans le cadre de la mise en demeure ne permettrait d’empêcher ou de rendre ineffectif l’accès des services de renseignements états-uniens aux données personnelles des utilisateurs européens lors de l’usage du seul outil Google Analytics.

Cependant, une solution permettant d’impliquer un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure peut être envisageable. Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021.

Le consentement explicite des personnes concernées est l’une des dérogations possibles prévues pour certains cas particuliers par l’article 49 du RGPD. Toutefois, comme indiqué dans les lignes directrices du Comité européen de la protection des données sur ces dérogations, elles ne sont utilisables que pour des transferts non systématiques, et ne peuvent constituer une solution pérenne et de long terme, le recours à une dérogation ne pouvant pas devenir la règle générale.

La CNIL a publié une liste d’outils de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés.

Cette liste regroupe les outils qui ont d’ores et déjà démontré à la CNIL qu’ils peuvent être paramétrés afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, et ainsi ne pas requérir le consentement de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés.

Cette liste n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux, notamment les conséquences de l’arrêt « Schrems II ».

Dans le cas où l’outil envisagé transfère des données hors de l’Union Européenne ou lorsque la société éditrice de l’outil a des liens capitalistiques ou organisationnels avec une société mère située dans un pays prévoyant la possibilité pour les services de renseignement d’exiger l’accès à des données personnelles situées sur un autre territoire, il est nécessaire d’évaluer le cadre juridique du pays tiers.

Cette évaluation peut se fonder sur :

• les décisions de la CJUE ou de la Cour européenne des droits de l’homme, qui ont pu évaluer la conformité de certaines législations aux standards européens en matière de protection des données.
• les recommandations des CNIL européennes, qui ont par exemple détaillé les garanties essentielles qui doivent être trouvées, en matière de surveillance, dans le pays tiers lors de l’évaluation du niveau de protection des données.

Il peut également être envisagé d’utiliser la méthode de la proxyfication, qui permet, lorsqu’elle est bien configurée, de n’envoyer que des données pseudonymisées à un serveur situé en dehors de l’Union européenne.

Non.

Les données personnelles transférées dans un pays en dehors de l’Union européenne doivent y bénéficier d’un niveau de protection « substantiellement équivalent » à celui qui est garanti dans l’UE.

En particulier, la possibilité d’un accès aux données personnelles illicite et allant au-delà de ce qui est nécessaire et proportionné dans une société démocratique par des autorités publiques porte une atteinte grave aux libertés et droits fondamentaux des personnes concernées.

Dans le cas où cet accès est possible (et non pas seulement lorsque l’accès est probable) et que les garanties encadrant l’émission de demandes d’accès aux données ne permettent pas de garantir un niveau de protection des données substantiellement équivalent à celui garanti dans l’Union européenne (voir les recommandations du CEPD sur les garanties essentielles), il est nécessaire de prendre des mesures techniques supplémentaires permettant de rendre cet accès impossible ou ineffectif.

Ces mesures sont prévues par les recommandations sur les mesures complémentaires aux transferts du Comité européen de la protection des données.