L'Autorité norvégienne de protection des données prend position contre Google Analytics

Estimant à son tour que son utilisation est « en violation des règles de transfert du RGPD »

La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics,
Le recours à Google Analytics va-t-il être remis en cause en Europe ?

Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français (à l'identité non communiquée) de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.

Le gestionnaire de site dispose d’un mois pour se mettre en conformité. Plusieurs solutions sont possibles. Soit il cesse d’utiliser Google Analytics en l’état, soit une solution est trouvée pour qu’il n’y ait pas de transfert hors de l’Union européenne. D’une manière générale, la CNIL recommande que les services de mesure et d’analyse d’audience servent uniquement à produire des données statistiques anonymes permettant l’exemption de consentement.

Google Analytics n'est pas le seul concerné : des outils supplémentaires seraient également dans le collimateur des gendarmes de protection des données à l'instar de Facebook Connect, qui permet de se connecter sur un site tiers à partir de son compte Facebook.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1^er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

À propos de Google Analytics, NOYB a estimé que :

Décision pertinente pour presque tous les sites web de l'UE. Google Analytics est le programme de statistiques le plus courant. Bien qu'il existe de nombreuses alternatives hébergées en Europe ou pouvant être autohébergées, de nombreux sites web s'appuient sur Google et transmettent ainsi leurs données d'utilisateur à la multinationale américaine. Le fait que les autorités de protection des données puissent désormais progressivement déclarer les services américains illégaux exerce une pression supplémentaire sur les entreprises de l'UE et les fournisseurs américains pour qu'ils se tournent vers des options sûres et légales, comme l'hébergement en dehors des États-Unis.

Solution à long terme. À long terme, il semble y avoir deux options : soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger des données étrangères en dehors des États-Unis.

Max Schrems : « À long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouvons avec des produits séparés pour les États-Unis et l'UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain et de personne en Europe ».


L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB" a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le noyb à la suite de la décision dite "Schrems II".

Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».

La CNIL rejoint l'avis de son homologue autrichien quelques semaines plus tard et met en demeure la gestion de sites français

La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitements qui...