Les incertitudes premières des décisions de la CNIL
En février dernier, les entreprises françaises ont vu leur quotidien perturbé par une série de décisions de la CNIL faisant date. En effet, par un communiqué publié sur son site, l’autorité de contrôle française a annoncé avoir mis en demeure un site français de cesser tout recours à Google Analytics, le célèbre outil de mesure d’audience du géant américain. Cette décision s’inscrit alors dans une série de mise en demeure à l’encontre de certaines entreprises françaises. Il était reproché au gestionnaire du site le transfert de données vers les Etats-Unis par Google Analytics tandis que les mesures juridiques, organisationnelles et techniques n’étaient pas suffisantes pour garantir la confidentialité de ces données selon la CNIL.
Au prononcé de la sanction, il était difficile d’imaginer qu’une telle décision pouvait revêtir un caractère général et s’appliquer à l’ensemble des utilisateurs français et européen de Google Analytics. Cette impression fut d’autant plus renforcée par la réponse de Google qui a affirmé qu’il était possible, grâce aux réglages disponibles sur son outil, d’instaurer des garanties suffisantes. Pourtant, quelques mois plus tard, l’autorité française n’a pas manqué de clarifier la situation.
Les éclaircissements univoques de la CNIL
Par une foire aux questions (FAQ) publiée le 7 juin dernier, la CNIL est à son tour venue répondre au géant américain, et force est de constater qu’elle n’a pas laissé de place à l’ambiguïté. Elle rappelle d’abord que les organismes concernés par les mises en demeure sont tenus de se mettre en conformité dans un délai d’un mois à compter de la décision en se tournant vers un « prestataire proposant des garanties suffisantes de conformité », ce délai pouvant être reporté à la demande des organismes intéressés.
Toutefois, il ne s’agit pas là de la principale leçon à tirer de cette FAQ, car la CNIL poursuit en affirmant que tous les acteurs utilisant Google Analytics d’une façon similaire doivent « considérer dès à présent cette utilisation comme illégale au regard du RGPD », et adopter la même démarche que les organismes concernés par une mise en demeure. Et elle ne s’arrête pas là, car elle va ensuite venir délimiter les conséquences de cette décision. La CNIL précise dans un premier temps qu’il s’agit d’une interprétation commune à l’ensemble des autorités européennes, et mentionne notamment la décision de l’autorité autrichienne rendue un mois avant celle de l’autorité française. Par la suite, la CNIL va apporter des éclaircissements précieux sur ce nouvel encadrement.
Les contours du nouveau cadre établi
Au fil de ses réponses, la CNIL dresse une première liste des leçons à tirer de sa décision. Ainsi, elle affirme d’une part qu’aucun paramétrage de Google Analytics ne permet d’éviter un transfert des données aux Etats-Unis, et d’autre part que les mesures d’anonymisation offertes par Google Analytics sont en réalité des mesures de pseudonymisation des données, et se révèlent donc insuffisantes. De même, les clauses contractuelles types proposées par Google ne sont pas satisfaisantes. On pourrait alors penser que la CNIL se dirige vers une interdiction totale de l’outil américain, mais elle va ensuite nuancer ses propos en précisant les cas dans lesquels l’usage de Google Analytics pourrait être considéré comme conforme.
La CNIL va commencer par indiquer que le chiffrement des données pourrait se révéler être une mesure suffisante à certaines conditions. En effet, pour être considéré comme conforme aux yeux de la CNIL, les clés de chiffrement devraient être conservées sous le contrôle exclusif de l’exportateur des données, ou à une entité tierce établie dans un territoire offrant un niveau de protection adéquat. Toutefois, les mesures de chiffrement proposées par Google impliquent que ces clés soient détenues par l’entreprise américaine. Un chiffrement devrait ainsi être instauré par l’acteur européen de façon à ce que l’outil américain n’ait accès qu’à des données chiffrées. Cette condition posée par la CNIL renvoie fortement au second cas d’usage qu’elle pourrait considérer comme conforme au RGPD : le recours à un serveur mandataire, soit un proxy.
Dans la mesure où une telle solution viendrait placer un intermédiaire entre l’outil de mesure d’audience et le terminal de l’utilisateur, la CNIL a affirmé sa potentielle conformité. Néanmoins, dans un autre article paru à la même date que la foire aux questions, la CNIL revient en détail sur les conditions nécessaires à la conformité de cette pratique. Elle y affirme notamment qu’il ne doit exister aucun transfert des adresses IP vers les outils de mesure d’audience, ou que certaines des informations en principe transmises à l’outil soient supprimées (telle que le site référent externe au site). De même, la CNIL porte un point d’honneur à ce que les conditions d’hébergement du proxy soient adéquates au regard du RGPD, ce qui inclut notamment l’absence de transfert hors-UE.
Les multiples conséquences de cette décision
La CNIL, en délimitant ainsi les contours de l’utilisation de Google Analytics, ne laisse aucun doute sur le caractère général de sa décision de février dernier, et entraine un certain remoud chez les utilisateurs de l’outil américain. C’est particulièrement le cas dans certains secteurs sous le feu des projecteurs, tels que la e-santé. En effet, au vu du caractère sensible des données qui y sont traitées, les acteurs du secteur sont particulièrement exposés à cette décision. C’est notamment le caractère sensible de ces données qui a poussé l’association de e-santé Interhop à saisir la CNIL en janvier dernier concernant certains acteurs de la e-santé qui utilisait toujours l’outil américain. Le 6 septembre dernier, l’association se félicitait qu’un certain nombre d’entre eux avait cessé d’y recourir.
Toutefois, bien que ces nouveaux éléments éclairent grandement le cas de Google Analytics, force est de constater qu’ils jettent également le doute sur le sort des autres outils américains de mesure d’audience. De plus, la même question peut se poser pour d’autres types d’outils qui opèrent un transfert des données vers les Etats-Unis, tels que les hébergeurs.