L’organisme français de surveillance de la protection des données, la CNIL, a publié des directives actualisées sur l’utilisation de Google Analytics à la suite d’une décision rendue plus tôt cette année qui a conclu que l’utilisation de l’outil par un site Web local était contraire au droit de l’Union européenne.
Il a également confirmé qu’il avait depuis émis des mises en demeure à d’autres organisations pour mettre leur utilisation de Google Analytics en conformité.
Le problème juridique – qui n’affecte pas seulement l’utilisation de l’outil d’analyse populaire en France mais dans toute l’UE – repose sur le transfert des données des utilisateurs aux États-Unis pour traitement par Google – une exportation de données personnelles qui manque de protections juridiques adéquates dans le sillage d’une décision rendue en 2020 par le plus haut tribunal européen qui a invalidé un accord phare de transfert de données (alias le bouclier de protection des données UE-États-Unis) sur le risque d’accès illégal aux données des Européens par les agences de renseignement américaines.
Depuis lors, l’UE et les États-Unis ont annoncé (en mars) un accord politique sur un mécanisme de transfert de remplacement.
Mais, comme le note la CNIL, leur déclaration commune n’est pas un cadre juridique et ne peut pas être invoquée par les utilisateurs de services cloud américains qui transportent les données des Européens par-dessus bord pour les traiter avant qu’un véritable accord de remplacement ne soit officiellement adopté par l’UE – qui la Commission a laissé entendre que cela pourrait ne pas se produire avant la fin de l’année. (Il sera également presque certainement confronté à de nouvelles contestations judiciaires pour vérifier si l’accord est tout aussi défectueux que les précédents, car les experts en protection des données soupçonnent.)
Ainsi, l’essentiel est que les sites Web de l’UE peuvent soit apporter des modifications à leur utilisation de Google Analytics, soit risquer l’application de la réglementation, ce qui pourrait inclure une ordonnance de modification de leurs processus et une sanction financière en cas de violation. Et il est probable que le risque d’amendes pour non-conformité s’intensifie maintenant que les directives réglementaires sur la question deviennent plus détaillées, car cela signifie qu’il y a moins d’excuses plausibles pour ne pas avoir apporté les modifications nécessaires.
« Tous les contrôleurs de données utilisant Google Analytics de la même manière que [already notified] les organisations doivent désormais considérer cette utilisation comme illégale au regard du RGPD. Ils doivent donc s’adresser à un prestataire offrant des garanties de conformité suffisantes », prévient la CNIL dans la note d’orientation [which we’ve translated from French with machine translation].
Tous les sites qui reçoivent une mise en demeure du régulateur concernant leur utilisation de Google Analytics disposent d’un mois pour se conformer, avec la possibilité d’une prolongation d’un mois supplémentaire.
La FAQ de la CNIL sur l’utilisation de Google Analytics poursuit en suggérant qu’il est pratiquement impossible pour les organisations basées dans l’UE d’utiliser l’outil sans appliquer certaines garanties supplémentaires qui leur sont propres.
« Aucune des garanties supplémentaires présentées à la CNIL dans le cadre de la mise en demeure n’empêcherait ou ne rendrait inefficace l’accès des services de renseignement américains aux données personnelles des utilisateurs européens lors de l’utilisation du seul outil Google Analytics », écrit-elle en réponse à la question. de savoir s’il est possible de s’appuyer sur des garanties supplémentaires que Google prétend appliquer à l’outil.
Les clauses contractuelles types ne suffisent pas non plus à combler le vide juridique sur les exportations de données, souligne également la CNIL — notant qu’il n’est pas possible de configurer Google Analytics pour qu’il ne transfère pas les données personnelles des Européens hors du bloc et avertissement supplémentaire : « Même dans En l’absence de transfert, le recours à des solutions proposées par des sociétés soumises à des juridictions non européennes est susceptible de poser des difficultés en termes d’accès aux données. En effet, les organisations peuvent être obligées par les autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne.
Selon la FAQ, les éventuelles garanties supplémentaires que les utilisateurs de Google Analytics basés dans l’UE pourraient appliquer pour utiliser l’outil sans enfreindre la loi sont limitées à : Le chiffrement (mais uniquement si les clés sont détenues sous le contrôle exclusif de l’exportateur de données ou d’autres entités établies sur un territoire offrant un niveau de protection adéquat) ; soit un serveur proxy (pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure).
Le régulateur suggère que l’obtention du consentement explicite des utilisateurs à un transfert de données peut également être valable, mais seulement dans des circonstances exceptionnelles, car la CNIL note que la dérogation ne peut pas être utilisée pour les transferts systématiques (qui sont essentiellement ce que sont les flux de données de Google Analytics). Le consentement explicite n’est donc pas une solution viable, même si vous pensez que c’est une bonne idée de perturber chaque visiteur avec une telle demande.
La CNIL a précédemment publié une liste d’outils d’analyse alternatifs qui, selon elle, peuvent être configurés de manière à éviter la nécessité générale d’obtenir le consentement de l’utilisateur pour le traitement des données. Cependant, il avertit que la liste ne tient pas compte du problème des transferts internationaux – par conséquent, les propriétaires de sites doivent encore faire leur propre travail pour déterminer si des outils d’analyse alternatifs, par exemple proposés par un fabricant de logiciels basé dans l’UE qui effectue tout le traitement dans le EU, pourrait offrir une option juridiquement moins risquée que Google Analytics.
D’autres autorités de protection des données de l’UE (comme l’Autriche) ont également publié des sites Web avec des décisions relatives à l’utilisation non conforme de Google Analytics.
L’examen réglementaire fait suite à une série de plaintes déposées par le groupe de défense de la vie privée de l’UE, noyb, en août 2020 – ciblant Google Analytics et Facebook Connect. Ainsi, bien que l’outil d’analyse de Google ait été en première ligne pour les décisions DPA, le problème ne se limite pas à Google ni aux outils d’analyse et Peut affecter beaucoup plus de services basés aux États-Unis avec des clients dans l’UE.
Google a été contacté pour une réponse à la consigne de la CNIL.