L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.
Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.
Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».
Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.
L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE
Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB"
a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le noyb à la suite de la décision dite "Schrems II".Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».
Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :
« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».
« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».
La CNIL rejoint l'avis de son homologue autrichien quelques semaines plus tard et met en demeure la gestion de sites français
La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites Web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitements qui transfèreraient des données personnelles vers les États-Unis.
Une analyse au niveau européen
La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l'arrêt « Schrems II » de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.
Les conséquences au niveau français
La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.
Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.
La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire, en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.
Concernant les services de mesure et d’analyse d’audience d’un site Web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.
La Cnil italienne à son tour s'oppose à l'utilisation de Google Analytics
Un site Web utilisant Google Analytics (GA) sans les garanties définies dans le RGPD de l'UE enfreint la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, qui est un pays sans niveau de protection des données adéquat.
La CNIL italienne est parvenue à cette conclusion après un exercice d'enquête complexe qu'elle avait entamé en étroite coordination avec d'autres autorités de protection des données de l'UE à la suite de plaintes qu'elle avait reçues. La CNIL italienne a constaté que les opérateurs de sites Web utilisant GA recueillaient, avec des cookies, des informations sur les interactions des utilisateurs avec les sites Web respectifs, les pages visitées et les services proposés. L'ensemble varié de données collectées à cet égard comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page. Ces informations ont été transférées aux États-Unis. En déterminant que le traitement était illégal, la CNIL italienne a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'elle détient.
Sur la base des conclusions ci-dessus, la CNIL italienne a adopté une décision, qui sera suivie d'autres, réprimandant Caffeina Media S.r.l. – un exploitant de site internet – et lui ordonnant de mettre le traitement en conformité avec le RGPD dans un délai de quatre-vingt-dix jours. Ce délai a été jugé approprié afin de permettre à l'opérateur de mettre en œuvre des mesures adéquates dans le cadre du transfert de données*; s'il s'avère que ce n'est pas le cas, la suspension des flux de données liés à l'AG vers les États-Unis sera ordonnée.
La CNIL italienne a souligné, en particulier, que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises*; elle a souligné à cet égard que les mesures adoptées par Google pour compléter les instruments de transfert de données n'assuraient pas un niveau de protection adéquat des données personnelles des utilisateurs à la lumière des orientations fournies par le CEPD à travers ses recommandations n° 1/2020 du 18 juin 2021.
La CNIL italienne souhaite attirer l'attention de tous les opérateurs de sites Web italiens, publics et privés, sur l'illégalité des transferts de données vers les États-Unis résultant de l'utilisation de GA - en partie en raison des nombreuses alertes et requêtes reçues jusqu'à présent. La CNIL italienne appelle tous les responsables du traitement à vérifier que l'utilisation de cookies et d'autres outils de suivi sur leurs sites Web est conforme à la loi sur la protection des données*; ceci s'applique en particulier à Google Analytics et aux services similaires.
À l'expiration du délai de 90 jours fixé dans sa décision, la CNIL italienne vérifiera que les transferts de données en cause sont conformes au RGPD de l'UE, y compris au moyen d'inspections ad hoc.
Source : communiqué de la CNIL italienne
Et vous ?
Que pensez-vous de cette décision ?Voir aussi :
L'approche de Google dans le remplacement des cookies tiers à des fins publicitaires attire l'attention des régulateurs antitrust, qui cherchent à savoir comment le secteur de la pub en sera affecté Google progresse dans sa lutte contre les cookies tiers sur son navigateur, et commence à tester des outils de substitution comme son API Trust Token Google affirme qu'il n'utilisera pas de nouvelles méthodes de pistage, tandis qu'il procède progressivement à la suppression des cookies tiers à des fins publicitaires de son navigateur 
