Le Blog Level Up Legal
Cookies et traceursProtection des données à caractère personnelTransferts de données

Comprendre les trois mises en demeure « Google Analytics » de la CNIL en 10 questions

Level Up Legal 574 Views 9 min read

Au vu des répercussions des récentes décisions de mise en demeure de la CNIL, un décryptage était nécessaire.

Des décisions de la CNIL ? Lesquelles ?

Le 10 février 2022, la CNIL a mis en demeure un gestionnaire de site web utilisant Google Analytics de se conformer au RGPD. Son nom n’a pas été dévoilé… Mais il se murmure que ce serait une des plus grandes enseignes françaises de grande distribution. La mise en demeure lui imposait de ne plus utiliser Google Analytics dans les conditions actuelles. Il avait un délai d’un mois pour s’y conformer. 

Le 2 mars 2022, la CNIL a également mis en demeure deux autres entreprises françaises pour les mêmes raisons, ce qui porte le total à trois (cf. ci-dessous pour l’explication de ce nombre). Mais elle n’a pas donné leur nom.

Pourquoi ces sites ont-il fait l’objet d’une enquête de la CNIL ? 

Le 17 août 2020, NOYB a déposé 101 plaintes pour non-respect du RGPD à l’encontre de 101 sites web. En France, seuls quelques acteurs français étaient concernés par les plaintes de NOYB pour leur utilisation de Google Analytics : Auchan, Décathlon et Sephora. De là à supposer que celles-ci soient les trois entreprises effectivement mises en demeures par la CNIL…

NOYB est une association à but non lucratif dont Maximillian Schrems est le Président. Ce militant autrichien est à l’origine des deux décisions les plus médiatiques de ces dernières années prononcées par la Cour de Justice de l’Union Européenne (CJUE) en matière de transfert de données hors EEE. La première a invalidé l’accord international entre l’Union européenne et les USA dit Safe Harbor (décision du 6/10/2015) qui permettait les flux de données de l’EEE vers les USA. Puis, cinq ans plus tard, la seconde a invalidé le Privacy Shield (décision du 16/07/2020) qui prenait la suite du défunt Safe Harbor.

Quels sites NYOB a-t-elle visés par ses plaintes ? 

NYOB dit avoir contrôlé puis visé les « sites majeurs de l’Union Européenne » en termes de trafic. 

Six entreprises françaises ont été l’objet des plaintes de NYOB :

  • trois concernant leur utilisation de Google Analytics (Auchan, Décathlon et Sephora, cf. ci-dessus) ;
  • et trois concernant leur utilisation de Facebook Connect : le Huffington Post, Leroy Merlin et Free mobile.

La liste complète des sites impliqués au plan européen est consultable sur le site de l’association NOYB.

Aux États-Unis, l’association a également déposé plainte contre Google et Facebook. Elle leur reproche de continuer à accepter les transferts de données malgré la violation du RGPD. 

Quel était le fondement des plaintes déposées par NOYB ? 

L’association considère que l’utilisation des services Google Analytics ou Facebook Connect déclenche un flux de données personnelles illégal vers les États-Unis. 

Selon l’analyse de la CJUE (du CEPD et de la CNIL), le droit américain permet une collecte indifférenciée à grande échelle par les divers services de sécurité de données personnelles détenues par les sociétés soumises au droit américain. Cette collecte pourrait également s’appliquer aux données stockées en Europe. Le recours à des filiales utilisées pour stocker les données en Europe ne permettrait donc pas d’y échapper.

En synthèse, les clauses contractuelles types émanant de la Commission Européenne ne suffisent pas à permettre un flux de données personnelles de l’EEE vers les USA. Elles doivent en plus être assorties de garanties spécifiques (techniques ou organisationnelles : chiffrement particulier, etc.).

Pour NYOB, les conditions générales d’utilisation de Google Analytics ou encore de Facebook Connect ne prévoyaient pas de telles garanties. Elle a donc massivement déposé plainte à l’encontre des éditeurs de sites utilisant ces outils.

Pourquoi les éditeurs de ces sites ont-ils été visés par la CNIL ? 

A l’origine, la CNIL a été saisie des plaintes concernant spécifiquement les éditeurs de sites français (huffingtonpost.fr ; leroymerlin.fr ; decathlon.fr ; mobile.free.fr : auchan.fr ; et sephora.fr). 

Après instruction, la CNIL considère que les transferts de données induits par Google Analytics ne respectent pas le RGPD. Or c’est l’éditeur du site qui a fait appel à la solution Google Analytics pour le suivi de son site. L’éditeur peut y faire appel directement ou via des sous-traitants sous sa responsabilité. Il est donc responsable du transfert illicite. La CNIL a donc mis en demeure l’éditeur du site de stopper sa pratique ou de la mettre en conformité. Et a précisé que la mise en conformité pourrait conduire à cesser d’utiliser Google Analytics dans sa version actuelle.

Quelles sont les conséquences pour les éditeurs de site web ? 

Eu égard à la finalité et aux modes de fonctionnement de l’outil Facebook Connect, tant que la société Méta n’aura pas elle-même prévu une évolution de son produit, son utilisation fait courir un risque de sanction par la CNIL. 

Concernant Google Analytics, les éditeurs de site peuvent éventuellement mettre en œuvre des mesures supplémentaires de conformité (anonymisation de tout ou partie des données, etc.). Toutefois, il n’existe à l’heure actuelle aucune certitude que la CNIL considérera les mesures mises en place par l’éditeur du site web comme suffisantes si certaines données restent pseudonymes et non complètement anonymes (donc sans rattachement possible à une personne physique).

Plus globalement, ce risque de sanction concerne toute fonctionnalité permettant de traiter des données à caractère personnel (adresse IP, traceur individuel, etc.) proposée par un acteur économique astreint au droit américain. 

De nouvelles plaintes sont -elles à craindre ? 

Compte tenu des victoires judiciaires historiques obtenues par Maximilien Schrems et de leurs conséquences, on voit mal pourquoi NYOB cesserait ses actions et limiterait son action à ces 101 dépôts de plainte initiale, d’autant plus si celles-ci sont couronnées de succès. D’autres plaintes sont donc probables, qu’elles proviennent de NYOB ou d’autres.

Par ailleurs, la décision commentée concerne la CNIL pour des éditeurs français. Les plaintes instruites dans chaque pays européen conduiront probablement à de nouvelles sanctions dans ces pays.

Quelques semaines avant la décision de la CNIL, l’autorité autrichienne de protection des données avait déjà jugé que l’utilisation continue de Google Analytics n’est pas respectueuse du RGPD.

Comment se mettre en conformité ?

En s’assurant que ses prestataires (pas seulement Google) respectent les règles et proposent des solutions techniques conformes.

En pratique, 3 solutions sont envisageables pour les prestataires:

  • Ils se conforment à la décision CJUE du 16/07/2020 et assortissent les flux hors EEE de garanties spécifiques en plus des clauses contractuelles ;
  • Leur nationalité et l’emplacement de leurs serveurs (dans l’EEE) permettent d’échapper a priori à l’application du droit US ;
  • Leurs solutions permettent d’anonymiser les données collectées, ce qui écarte l’application de la réglementation.

Et maintenant, que fait-on ?

En l’absence de réaction rapide des fournisseurs de solutions techniques, leur utilisation en l’état risque de conduire à une sanction de la CNIL ou à d’éventuelles actions en justice contre les éditeurs du site qui continuent à les utiliser.

Une autre solution, de type juridique et plus radicale, serait la mise en place d’un nouvel accord transatlantique permettant d’être en parfaite conformité avec le RGPD. Les USA et la Commission Européenne ont annoncé avoir trouvé un accord de principe en ce sens le 25 mars dernier. Mais, au-delà du pur effet d’annonce (s’inscrivant dans le cadre d’un renforcement affiché de la collaboration des USA avec l’Union Européenne), l’incertitude demeure. Quel sera le contenu exact de ce texte qui ne sera pas connu avant quelques mois ? Sera-t-il un Safe Harbour 3 / Privacy Shields 2 / texte à obsolescence programmée via une censure de la CJUE ? En l’absence d’inflexion majeure de la législation US permettant un accès large et indifférencié aux données personnelles par les divers services de sécurité, on ne voit pas comment un tel accord pourrait connaître un destin différent que les deux textes précédents annulés par la CJUE.

Dans l’attente de la mise en oeuvre d’une de ces deux solutions (ou du retrait du marché européen des produits, menace brandie régulièrement par Meta par exemple), deux alternatives restent possibles :

  • Anonymiser les flux de données émanant des solutions de ces fournisseurs techniques ;
  • Remplacer ces solutions par des solutions techniques alternatives proposées par des acteurs européens stockant leurs données en Europe. 

Les solutions alternatives de mesure d’audience des sites web

Outre l’exigence rappelée ci-dessus, en matière de cookies de mesure d’audience, une autre conséquence forte apparaît. Deux situations sont en effet à différencier en droit français :

  • les outils de mesure d’audience qui ne sont pas strictement dédiés à l’analyse d’audience d’un acteur économique, mais dont les données sont également utilisées par son fournisseur (ex : Google Analytics). Indépendamment de la question des flux hors EEE vue plus haut, leur utilisation nécessite un consentement préalable de l’utilisateur ;
  • les outils de mesure d’audience strictement dédiés à l’analyse d’audience d’un acteur économique et produisant des données statistiques anonymes, exemptés de consentement préalable (cf. les outils suivants identifiés par la CNIL : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience). Seule une information aux personnes concernées sur l’utilisation d’outils respectueux de leurs droits et libertés reste nécessaire.

Choisir un outil conforme aux préconisations de la CNIL, et le configurer tel qu’elle l’indique, permettrait donc non seulement de résoudre la question qui nous occupe, mais également d’échapper au recueil obligatoire du consentement. 

Vous pourrez aussi aimer

Colloque Souveraineté et Internet des objets – la vidéo est en ligne !

Level Up Legal
Règlement européen sur la protection des données à caractère personnel

Nos anciens articles (avril 2016) – Le RGPD finalement adopté ! [Edit du 4 mai 2016]

Level Up Legal

Formation Cybersécurité à destination des avocats du 16/12/2021

Level Up Legal