Le 25 mars 2022, la Commission européenne et les États-Unis ont annoncé conjointement qu’ils étaient parvenus à un nouvel accord sur les conditions dans lesquels allait s’opérer les transferts de données personnelles de l’Union Européenne (UE) vers les États-Unis. Bien que cela ne soit qu’un accord de principe, cette annonce marque le pas après 2 ans de vide juridique instauré par l’invalidation du Privacy Shield en juillet 2020, l’accord sur lequel était fondé ces transferts internationaux. Elle intervient par ailleurs dans un contexte des plus délicats pour les GAFAM d’outre-Atlantique.
Le 16 février dernier, le régulateur français de la protection des données, la CNIL, publie un communiqué dans lequel il annonce la mise en demeure d’un gestionnaire de site français pour son usage de Google Analytics, un outil du géant américain permettant d’obtenir des statistiques sur l’audience d’un site. Utilisé par près de 80% des sites web sur le marché mondial, cette décision sur l’outil américain soulève inévitablement une série de questions pour les acteurs français et européens.
Qu’est-il reproché à Google Analytics par la CNIL ?
Suite à trois plaintes déposés devant la CNIL par l’association Noyb sur l’utilisation de Google Analytics par certains sites français (parmi 101 plaintes déposées dans toute l’Union européenne), le gendarme français a lancé une procédure. Lors de son enquête, il s’est penché sur les conditions dans lesquelles l’outil de Google opérait des transferts de données collectées au sein de l’UE vers les États-Unis.
La CNIL s’est d’abord aperçue que les données transférées permettaient d’identifier les personnes concernées, et constituaient donc des données personnelles auxquelles s’appliquait le RGPD. Elle a ensuite constaté que les mesures instaurées par Google ne permettaient pas de répondre au cadre légal visant à assurer la confidentialité de ces données. En effet, celles-ci sont transférées vers les États-Unis où la loi autorise les services de renseignement à accéder à toutes les données en possession d’un hébergeur américain (Cloud Act). Or, le RGPD, qui s’applique à ces données transférées, exige « un niveau de protection adéquat » pour tout transfert de données personnelles en-dehors de l’Union européenne. Évidemment, le texte européen n’autorise pas de telles ingérences des divers services de renseignement dans l’UE.
Par conséquent, les données transférées de l’UE aux États-Unis par Google ne jouissent pas de la même protection dès lors qu’elles ont quitté le territoire européen. La firme américaine est donc contrainte d’instaurer des mesures qui empêchent l’accès des services de renseignement américain à ces données. Or, suite à son enquête, la CNIL a estimé que ce scénario était toujours envisageable, et donc que les mesures instaurées par Google n’étaient pas suffisantes.
Quelles sont les conséquences de cette décision ?
Au vu du nombre d’entreprises utilisatrices de Google Analytics, il est légitime de s’interroger sur la portée et les conséquences de la décision de la CNIL.
Au grand soulagement de la majorité des acteurs, elle ne signifie pas l’interdiction de Google Analytics au sein de l’Union européenne. En effet, cette mise en demeure ne concerne que la société qui est destinatrice, mais n’a pas vocation à s’appliquer à chaque entreprise qui utilise l’outil américain. Pour cela, une plainte devrait être déposée à l’encontre de chacun d’eux, ce qui a très peu de chances d’arriver.
Toutefois, force est de constater que cette décision doit alerter l’ensemble des acteurs sur ce sujet, car nombreuses sont les leçons à en tirer. En effet, la CNIL a pris le soin de faire certaines recommandations dans l’usage de l’outil américain, notamment en préconisant le transfert de données anonymes uniquement. Ces informations sont précieuses en vue de minimiser et maitriser les risques découlant de cette pratique. Par ailleurs, la CNIL met également à disposition des différents acteurs une liste d’outils alternatifs dont elle préconise l’usage.
Quelle est la réaction de Google face à cette décision ?
A la suite de la décision de la CNIL, la réaction officielle de Google ne fut pas immédiate. La firme américaine finira par s’exprimer dans un communiqué du 16 mars 2022, un mois jour pour jour après la fameuse décision concernant Google Analytics. Toutefois, sa réaction n’a pas été à la hauteur de l’attente de certains acteurs. En effet, le communiqué de Google se contente d’affirmer que l’outil actuel, « Universal Analytics », va être abandonné au profit de son successeur : « Google Analytics 4 ». Quelle différence ? Difficile à dire. La firme américaine a précisé que de nouvelles fonctionnalités seraient annoncées en avril 2022, et que celles-ci porteraient sur la minimisation des données transférées aux États-Unis ainsi que leur anonymisation. Toutefois, aucune mesure à l’heure actuelle ne vient assurer un usage répondant parfaitement aux attentes de la CNIL.
En amont de cette communication officielle, Google avait rassuré les entreprises utilisant son outil d’analyse d’audience par divers moyens. Ces dernières ont d’abord été informées que la firme américaine avait interjeté appel de la décision de la CNIL. Google estime en effet que les mesures existantes étaient suffisantes, et que le risque réel d’ingérence des services de renseignement américains était quasi-nul sur les données de Google Analytics. Elle a notamment précisé qu’elle estimait que la réponse à long terme devait d’abord être politique, appuyant ainsi sur le vide juridique laissé par l’invalidation du Privacy Shield en juillet 2020, et sur lequel étaient fondés les transferts de données de l’UE vers les États-Unis. Enfin, l’entreprise américaine a rappelé à ses homologues européens que de nombreux réglages étaient déjà possibles dans la version actuelle de l’outil, en envoyant spécifiquement des liens dédiés aux sujets concernés par la décision. Elle en a profité pour préciser à nouveau qu’au sein de l’UE, un réseau d’experts existait afin d’accompagner les entreprises dans leur utilisation de Google Analytics.
Quel a été l’accueil de cette décision ?
Comme l’on pouvait s’y attendre, la décision de la CNIL a suscité de nombreuses réactions. Ainsi, Jean-Marie Cavada, ancien député européen (2004-2019), s’est empressé de saluer la décision de la CNIL en la qualifiant de « jurisprudence européenne lourde de conséquences » dès le lendemain de sa publication. Il en a également profité pour rendre hommage à Max Schrems, l’avocat autrichien à l’origine de la plainte, en l’évoquant comme comme « l’un des plus remarquables militants européens pour le respect de nos régulations ». Ce dernier est également à l’origine de la décision rendue en juillet 2020 par la Cour de Justice de l’Union Européenne (CJUE), sur laquelle se fonde la mise en demeure de la CNIL, et qui invalide le Privacy Shield.
Paradoxalement, c’est pour cette même raison que Me Etienne Drouard, avocat spécialisé dans les nouvelles technologies, voit cette décision de la CNIL d’un regard plus critique. Il estime en effet qu’en s’appuyant sur cette décision, « la CNIL récite un raisonnement juridique qui n’est pas applicable à Google Analytics », car celle-ci concernait Facebook, un réseau social, tandis que la CNIL se penche sur un outil de mesure d’audience. L’avocat met en avant que la conformité des entreprises à la décision de la CNIL dépend des réglages qui lui sont propres, et invite à « ne pas faire de généralités ».
Par ailleurs, Temesis, une société spécialisée dans la protection des données personnelles, a pris du recul sur cette décision dans son dernier rapport du 21 mars 2022. Elle affirme dans ce dernier que sur les 12 sites des candidats à l’élection présidentielle, 9 utilisent encore Google Analytics à ce jour. Bien que cela ne puisse pas être un indicateur de l’impact de la décision de la CNIL, cette statistique doit faire pâlir plus d’un partisan de la souveraineté numérique.
La décision de la CNIL, au moment de sa publication en février 2022, a alerté l’ensemble des acteurs français et européens sur l’usage qu’ils pouvaient faire de l’outil américain. Toutefois, l’annonce conjointe des États-Unis et de l’UE intervient à point nommé et devrait venir éclaircir les perspectives d’avenir des géants américains. Quand bien même le texte devrait passer entre diverses mains pour être validé, des critiques à son égard apparaissent déjà. En effet, Max Schrems a déjà affirmé qu’il contesterait le texte s’il l’estimait contraire au RGPD. De même, le patron d’OVH, Octave Klaba, adopte une autre lecture de la situation actuelle et fait le parallèle entre cet accord et la conclusion d’un accord commercial sur la fourniture de gaz aux européens par les américains : « .. nos datas contre le gaz… ». Bien qu’il n’engage que lui, ce point de vue a le mérite de mettre en avant les enjeux qui entourent cet accord et la décision de la CNIL. De tels transferts de données resteront dépendants de l’évolution de la relation entre l’UE et les États-Unis, et il est difficile de s’en protéger dès lors que des outils américains sont utilisés pour la mesure d’audience. Malgré la crainte de ne pas trouver la même aisance dans l’utilisation et malgré l’effort à fournir quand le choix de l’alternative est fait, l’option la plus sécurisante pourrait être de migrer vers des outils européens.
La décision de la @CNIL d’interdire l’utilisation de #GoogleAnalytics est très importante, il faut la saluer, car elle sonne comme une jurisprudence européenne lourde de conséquences pour les entreprises du web utilisant Google Analytics.@iDFRights https://t.co/oG2Jgia9UI
— Jean-Marie CAVADA (@JeanMarieCAVADA) February 17, 2022
.. nos datas contre le gaz .. quand on n’a pas de vision sur la souveraineté, on doit accepter la vision du monde des autres pour nous. humiliant. https://t.co/hItdavrdIj
— Octave Klaba (@olesovhcom) March 25, 2022
🤯 Today Commission President Ursula von der Leyen and President Biden have announced a new EU-US data sharing system.
— noyb (@NOYBeu) March 25, 2022
A first statement by Max Schrems:https://t.co/3TbQQ0BdbB pic.twitter.com/M1itESQl9P