Google Analytics est l’un des outils de mesures d’audience les plus utilisés par les gestionnaires de sites Internet. Les récentes recommandations et décisions de certaines autorités de protection des données de l’Union européenne rendent cependant son futur incertain.
La dernière mise en demeure en date, rendue mi-février 2022 par la Cnil, conclut en effet à l’obligation faite au destinataire de cette mise en demeure de mettre en conformité son traitement de données relatif à la fonctionnalité Google Analytics avec certains articles du RGPD, si nécessaire, en cessant de traiter des données à caractère personnel dans le cadre de la version actuelle de Google Analytics.
Sur la page de présentation de cette mise en demeure, la Cnil indique par ailleurs que : « d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics. ».
La mise en demeure a été abondamment commentée et a soulevé de nombreuses questions parmi les utilisateurs de Google Analytics, soit la majorité des gestionnaires de sites Internet.
Face à ces inquiétudes, Google a été invité par l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) à exprimer sa position, vendredi 4 mars 2022.
Pour rappel, la Cnil fait reproche aux utilisateurs de Google Analytics de ne pas se conformer aux conclusions de l’arrêt de la CJUE ayant invalidé le Privacy Shield (arrêt de la CJUE dit « Schrems II » du 16/07/2020).
Cet arrêt dispose en effet que les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation (c’est-à-dire, une décision de la Commission européenne reconnaissant que la protection accordée aux données personnelles dans l’Etat destinataire est au moins équivalente à celle prévue par l’application du RGPD dans l’UE) doivent être encadrés par des garanties appropriées.
Dans le cas des Etats-Unis, une des difficultés ayant conduit à l’invalidation du Privacy Shield tenait en la possibilité pour les autorités publiques nationales d’accéder aux données une fois celles-ci arrivées sur leur territoire.
Après l’annulation du Privacy Shield, les transferts de données vers les Etats-Unis ont été encadrés par les clauses contractuelles type (CCT). Les entités utilisant les CCT sont cependant tenues de garantir que des mesures appropriées existent à destination pour protéger les données.
En leur absence, un tel transfert n’est possible que pour des données non personnelles.
Après vérification des données collectées et transférées par Google Analytics (adresse IP tronquée, metadata et identifiant unique de chaque visiteur), la Cnil considère que celles-ci sont, directement ou indirectement, identifiantes, et constituent donc des données personnelles.
Elle relève que ces transferts ne sont pas encadrés par des garanties appropriées, et qu’ils sont donc illégaux. Les mesures mises en œuvre par Google ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données selon l’avis de la Cnil.
L’intervention de Google suite à cette décision et aux inquiétudes qu’elle a soulevées s’est articulée autour de trois axes : 1) le rappel du contexte, 2) une présentation de l’outil et des modifications pouvant y être apportées et 3) la politique de Google pour répondre aux décisions des autorités de contrôle.
Google recommande tout d’abord de procéder à un paramétrage fin de l’outil Google Analytics afin de réduire le périmètre des données collectées, de vérifier les durées de conservations sélectionnées et de pseudonymiser les adresses IP.
Google a annoncé que la future version de Google Analytics, Google Analytics 4, serait paramétrée par défaut sur certains de ces points. La version actuelle nécessite cependant un paramétrage manuel.
Ces mesures doivent être mises en place et vérifiées auprès des opérationnels de chaque utilisateur, afin de limiter les données transférées.
Enfin, Google a indiqué avoir envoyé une lettre détaillant les mesures mises en œuvre à différentes autorités de contrôle ainsi qu’à l’EDPB (Comité européen de la protection des données).
Cette lettre est accompagnée d’un livre blanc détaillant les mesures de protection mises en œuvre par Google et du détail des configurations possibles dans l’outil Google Analytics.
Les représentantes de Google ont précisé que l’argumentation soumise aux autorités de contrôle insiste sur l’absence, au cours des quinze dernières années, de demande d’accès aux données de la part des autorités des Etats-Unis.
Les représentantes de Google ont également insisté sur la nécessité d’une décision politique s’agissant des transferts de données UE-USA, qui seule permettra de mettre fin aux incertitudes liées aux transferts de données depuis, déjà, l’invalidation du Safe Harbour en 2015.
Cette solution est très attendue.
La décision de la Cnil ne peut en effet être réduite à la situation de Google Analytics.
L’ensemble des entreprises traitant des données personnelles de ressortissants de l’Union européenne, et qui transfèrent ces données vers les Etats-Unis, sont susceptibles d’être visés par une mise en demeure similaire, et leurs clients responsables de traitement avec eux.
Par extension, sont également concernées les entreprises qui transfèrent des données personnelles vers un Etat dont les autorités publiques nationales peuvent accéder aux données une fois celles-ci arrivées sur leur territoire.
Sources :
https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf
