Il a été constaté que l’utilisation de Google Analytics enfreint les lois de l’Union européenne sur la protection de la vie privée en France, après qu’une décision similaire a été prise en Autriche le mois dernier.
L’organisme français de surveillance de la protection des données, la CNIL, a déclaré aujourd’hui que l’utilisation de Google Analytics par un site Web local anonyme n’est pas conforme au règlement général sur la protection des données (RGPD) du bloc – enfreignant l’article 44 qui couvre les transferts de données personnelles en dehors du bloc vers les soi-disant pays tiers qui ne sont pas considérés comme ayant des protections de la vie privée essentiellement équivalentes.
Les États-Unis échouent à ce test d’équivalence critique en raison de lois de surveillance radicales qui ne fournissent aux citoyens non américains aucun moyen de savoir si leurs données sont acquises, comment elles sont utilisées ou de demander réparation en cas d’utilisation abusive.
Alors que le RGPD de l’UE exige que la protection des données voyage avec les informations des citoyens en tant que stipulation d’exportation légale.
La CNIL française a enquêté sur l’une des 101 plaintes déposées par le groupe européen de défense de la vie privée, noyb, en août 2020 – après que le plus haut tribunal du bloc a invalidé l’accord EU-US Privacy Shield sur les transferts de données.
Depuis lors (en fait, bien avant), la légalité des transferts transatlantiques de données personnelles est plongée dans l’incertitude.
Bien qu’il ait fallu un certain temps aux régulateurs de l’UE pour agir sur les transferts de données illégaux – malgré un avertissement immédiat du comité européen de la protection des données d’absence de délai de grâce à la suite de l’arrêt de la CJUE de juillet 2020 (alias ‘Schrems II) – les décisions commencent enfin couler. Dont une autre par le contrôleur européen de la protection des données le mois dernier, impliquant également Google Analytics.
En France, la CNIL a enjoint au site qui faisait l’objet d’une des réclamations de noyb de se mettre en conformité avec le RGPD — et « le cas échéant, de cesser d’utiliser ce service dans les conditions actuelles » — en lui donnant un délai d’un mois pour s’y conformer.
Comme en Autriche, l’évaluation par la CNIL des mesures supplémentaires réclamées par Google (qui, selon elle, garantissaient que les données des citoyens de l’UE transférées, via Google Analytics, aux États-Unis, étaient protégées de manière adéquate) les a jugées insuffisantes.
« [A]Bien que Google ait adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne sont pas suffisantes pour exclure l’accessibilité de ces données aux services de renseignement américains », écrit la CNIL dans un communiqué annonçant la décision.
« Il y a donc un risque pour les internautes français qui utilisent ce service et dont les données sont exportées. »
La CNIL laisse la porte ouverte à l’utilisation continue de Google Analytics, mais seulement avec des changements substantiels qui garantiraient que seules les « données statistiques anonymes » soient transférées. (Et la décision autrichienne contre Google Analytics le mois dernier a adopté une interprétation large de ce qui constitue des données personnelles dans ce contexte, estimant qu’une adresse IP pourrait suffire compte tenu de la manière dont elle peut être combinée avec d’autres éléments de données détenus par Google pour identifier un utilisateur du site. .)
Le régulateur français insiste également sur le fait que dans les « conditions actuelles », l’utilisation de Google Analytics n’est pas conforme – et peut donc devoir cesser pour que le site en question soit conforme au RGPD.
La CNIL suggère également d’utiliser un outil d’analyse alternatif qui n’implique pas de transfert hors de l’UE pour mettre fin à la violation.
En outre, il indique avoir lancé un programme d’évaluation pour déterminer quels services de mesure et d’analyse d’audience de sites Web peuvent être exemptés de la nécessité d’obtenir le consentement de l’utilisateur (c’est-à-dire parce qu’ils ne produisent que des données statistiques anonymes qui peuvent être exportées légalement dans le cadre du RGPD). Ce qui suggère que la CNIL pourrait publier à l’avenir des orientations recommandant des alternatives conformes au RGPD à Google Analytics.
La décision sur cette plainte a des implications claires pour tout site Web basé en France qui utilise actuellement Google Analytics – ou, en fait, tout autre outil qui transfère des données personnelles aux États-Unis sans mesures supplémentaires adéquates – du moins à court terme.
D’une part, la décision de la CNIL note qu’elle a rendu d’« autres » ordonnances de conformité aux opérateurs de sites Web utilisant Google Analytics (là encore sans nommer aucun site).
Alors que, compte tenu du travail conjoint des régulateurs de l’UE sur ces 101 plaintes stratégiques, les ramifications s’étendent probablement à l’échelle de l’UE.
La CNIL prévient également que son enquête – ainsi que les enquêtes parallèles menées par d’autres régulateurs de l’UE – s’étend à « d’autres outils utilisés par des sites qui entraînent le transfert de données d’internautes européens vers les États-Unis », ajoutant : « Des mesures correctives à cet égard pourraient être adoptées dans un proche avenir.
Ainsi, tous les outils basés aux États-Unis qui transfèrent des données personnelles sont confrontés à un risque réglementaire.
Nous avons demandé à la CNIL quels autres outils elle envisageait et mettrons à jour ce rapport avec toute réponse.
Mettre à jour: Le régulateur nous a indiqué que l’utilisation de Facebook Connect par les gestionnaires de sites français « a également fait l’objet de plaintes auprès de la CNIL, qui sont actuellement en cours d’instruction ».
Google a également été contacté pour commenter la décision de la CNIL et comment il envisage de répondre, mais au moment de la rédaction, il n’avait pas répondu.
Commentant la critique de l’organisme de surveillance français dans un communiqué, le fondateur et président d’honneur de noyb, Max Schrems, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l’utilisation de Google Analytics est illégale. Il y a un groupe de travail européen et nous supposons que cette action est coordonnée et d’autres autorités décideront de la même manière.
Privacy Shield v3 à la rescousse ?
Un facteur qui pourrait changer la situation est un nouvel accord entre l’UE et les États-Unis sur les transferts de données.
Des négociations entre la Commission européenne et leurs homologues américains sont en cours pour tenter de combler le fossé du transfert de données, comme cela s’est produit après que la CJUE a annulé Safe Harbor en 2015 (alias Schrems I), ce qui signifie qu’il a été assez rapidement remplacé par Privacy Shield, jusqu’à ce que cela aussi soit bientôt invalidée.
Ce schéma de plaintes conduisant à des annulations (plus rapides) rend impossible une « solution rapide » – même si les mesures d’application qui frappent actuellement des outils grand public tels que Google Analytics concentreront certainement les esprits à Bruxelles et à Washington, augmentant l’urgence politique et économique de trouver un moyen de résoudre ce problème.
La Commission a déclaré qu’elle souhaitait un accord de remplacement sur le transfert de données avec les États-Unis. Cependant, elle a également averti à plusieurs reprises qu’un tel accord doit être robuste pour une future contestation judiciaire, ce qui signifie qu’il doit répondre de manière substantielle aux préoccupations de la CJUE. Et sans une vaste réforme des pratiques de surveillance américaines, cela s’annonce difficile.
Pourtant, ces dernières semaines, des rapports ont suggéré que l’UE et les États-Unis étaient sur le point de s’entendre sur un nouvel accord de transfert de données – potentiellement dès ce mois-ci, selon les informations de Politico, qui a également suggéré que les deux parties pourraient dévoiler un nouvel accord en mai à une prochaine réunion du Trade and Tech Council.
Cependant, les détails sur la manière dont les États-Unis et l’UE seront en mesure de concilier le cercle de l'(il)légalité du transfert de données sont rares.
Selon Politico, un mécanisme de recours en cours de discussion permettrait aux citoyens de l’UE de déposer directement (ou via leurs gouvernements nationaux) des plaintes auprès d’un organe judiciaire indépendant s’ils pensent que les agences de sécurité nationale américaines ont traité illégalement leurs informations personnelles.
Mais cela laisse encore beaucoup de questions. Notamment comment un citoyen de l’UE pourrait connaître se plaindre en premier lieu, étant donné l’absence de notification des interceptions de surveillance américaines.
Les États-Unis n’ont toujours pas non plus de loi fédérale sur la protection de la vie privée similaire au RGPD de l’UE, ce qui signifie que leurs propres citoyens ne disposent pas de protections complètes pour leurs informations, ce qui montre à quel point les deux juridictions restent éloignées sur cette question.
Et tandis que certains États américains – comme la Californie – ont pris les choses en main ces dernières années, en adoptant des lois pour accorder aux résidents certains droits légaux enveloppant leurs informations, la protection de la vie privée des citoyens américains reste, au mieux, un patchwork. Compte tenu de cela, il peut être difficile pour l’administration Biden de donner plus de droits aux citoyens non américains pour se plaindre de la surveillance américaine par rapport à ce que le pays fournit à ses propres citoyens.
Cependant, la pression commerciale s’intensifie sur cette question.
Pas plus tard que cette semaine, Facebook/Meta s’est senti poussé à publier un article de blog – rejetant le rapport de son dossier financier qui affirmait que ses divulgations équivalaient à une menace de retirer son service de l’Europe en raison de l’incertitude du transfert de données.
« Nous voulons voir les droits fondamentaux des utilisateurs de l’UE protégés, et nous voulons qu’Internet continue de fonctionner comme prévu : sans friction, dans le respect des lois applicables – mais pas confiné par les frontières nationales », a écrit le géant de la technologie, exhortant progresser sur un nouvel accord.
Meta a sa propre raison très pressante de faire pression pour une nouvelle « solution », étant donné que son activité fait l’objet d’une plainte de transfert de données de très longue date – et cela fait maintenant plus d’un an que son principal régulateur européen des données, l’Irlandais Commission de protection des données, a promis de résoudre rapidement cette plainte.
En revanche, les plates-formes basées dans l’UE qui peuvent localiser et pare-feu légalement les données des utilisateurs dans le bloc, où elles sont protégées par le GDPR, ont des raisons d’être joyeuses.
À savoir : le mois dernier – à la suite de la décision autrichienne – un concurrent de Google Analytics basé en Pologne, Piwik Pro, nous a dit que Schrems II était l’une des principales préoccupations soulevées par les organisations qui l’ont contacté pour rechercher une alternative à Google Analytics.
« Deux semaines seulement après la publication de la liste des 101 plaintes de Noyb, nous avons acquis en tant que client l’une des principales banques qui y sont répertoriées », a déclaré le PDG Maciej Zawadziński. « L’intérêt pour nos produits et services est directement affecté par tous les développements dans le domaine de la confidentialité et de la conformité. La décision Schrems II a été importante pour nous l’année dernière, tout comme la décision du DPA autrichien est assez importante maintenant.
« Nous prévoyons qu’en 2022, le stockage local des données de l’UE qui éliminera complètement les transferts de données offshore sera un argument de vente important. »
Zawadziński a ajouté que la société avait a ouvert un centre de données situé dans l’UE pour héberger et traiter les données des clients pour cette raison, notant : « Le centre de données est géré par une société de l’UE et ni nous ni aucun de nos fournisseurs ne sont soumis à la [U.S.] Loi sur le nuage. »
Schrems prédit également un éclatement des services numériques et de la fourniture de produits européens dédiés – à moins ou jusqu’à ce que les États-Unis réforment leur approche de la vie privée. « À long terme, soit nous avons besoin de protections appropriées aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et l’UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain – et de personne en Europe », a-t-il ajouté dans un communiqué.
Ce rapport a été mis à jour avec un commentaire supplémentaire