La CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics, en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens. Quelles sont les conséquences pour les organismes ?
Cette foire aux questions ne vise que les décisions de mise en demeure de la CNIL concernant l’utilisation de Google Analytics à la suite de l’invalidation du Privacy Shield.
La déclaration conjointe de la Commission européenne et des États-Unis en mars 2022 concernant une future décision visant à encadrer de manière satisfaisante les flux de données vers les Etats-Unis n’est à ce stade qu’une annonce politique. Le CEPD a publié une déclaration le 6 avril dans laquelle il précise que cette déclaration ne constitue pas un cadre juridique sur lequel les organismes peuvent s’appuyer pour transférer les données vers les États-Unis.
Concernant les mises en demeure
En bref, que faut-il retenir des mises en demeure prononcées par la CNIL ?
Le contexte
Le 16 juillet 2020, la Cour de justice de l’Union européenne a rendu un arrêt majeur : le Privacy Shield, qui encadrait les transferts de données entre l’Union européenne et les États-Unis a été invalidé car il n’offrait pas de garanties appropriées face au risque d’accès illicite d’autorités américaines aux données personnelles de résidents européens.
Seule la mise en place de mesures techniques, juridiques et organisationnelles de protection supplémentaires par les organismes pour empêcher de tels accès pourrait, en pratique, permettre de tels transferts.
En août 2020, l’association NOYB a déposé 101 plaintes aux différentes autorités de protection des données européennes concernant des sites web utilisant notamment l’outil d’analyse d’audience Google Analytics, très répandu, dont la société mère est située aux États-Unis.
La décision
Dans la mise en demeure rendue publique le 10 février 2022 concernant un de ces organismes, la CNIL a estimé que :
- les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ;
- les données d’internautes européens sont donc transférées illégalement par le biais de cet outil.
Pourquoi la mise en demeure mise en ligne a-t-elle été anonymisée ?
L’une des mises en demeure relative à l’utilisation de Google Analytics a été mise en ligne de façon anonymisée sur le site de la CNIL le 16 février 2022.
La décision a été anonymisée car il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu.
L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité.
Les organismes disposent-ils d’un délai pour se mettre en conformité ?
Les organismes mis en demeure disposent d’un délai d’un mois pour se mettre en conformité et justifier cette conformité auprès de la CNIL. Ce délai d’un mois peut être renouvelé, à la demande des organismes concernés.
Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD.
Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité.
Cette interprétation des conséquences de l’arrêt « Schrems II » par la CNIL est-elle partagée au niveau européen ?
Afin d’harmoniser les décisions et d’offrir de la sécurité juridique aux acteurs, les autorités européennes saisies de plaintes par l’association NOYB (none of your business en anglais) sur le sujet des transferts par Google Analytics se sont organisées en groupe de travail pour examiner ensemble les questions juridiques soulevées dans ces dossiers et coordonner leurs positions et décisions.
La décision de la CNIL n’est ainsi pas la première au niveau européen : un mois avant la CNIL, l’autorité de la protection des données autrichienne a rendu en janvier une première décision qui va dans le même sens que celle de l’autorité française.
Pourquoi l’ensemble des plaintes déposées par l’association noyb n’ont pas été traitées en même temps ?
Toutes les plaintes déposées par l’association NOYB dont a été saisie la CNIL ont fait l’objet d’une instruction coordonnée : cependant, les situations ont été examinées au cas par cas et en fonction des réponses apportées par les organismes.
Tous les organismes en France dont l’utilisation de Google Analytics était visée par les plaintes de noyb ont désormais fait l’objet de mises en demeure.
Concernant l’utilisation de l’outil Google Analytics
Des clauses contractuelles types et des garanties supplémentaires peuvent-elles permettre d’utiliser Google Analytics ?
Les organismes mis en demeure avaient établi avec Google des clauses contractuelles types, que Google propose par défaut aux utilisateurs de cette solution. Ces clauses contractuelles types ne peuvent, à elles seules, assurer un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévue par des lois locales.
Dans sa réponse aux demandes de la CNIL, Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens.
Est-il possible de paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne ?
Non.
En réponse au questionnaire envoyé par la CNIL, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux États-Unis.
Même en l’absence de transfert, le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d’accès aux données. En effet, les organismes peuvent être obligés par des autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne.
L’article 48 du RGPD limite ces divulgations aux seuls cas où le pays tiers demandeur et l’Union européenne ou l’État membre concerné sont parties d’un accord international prévoyant de telles communications.
Est-il possible de faire en sorte de paramétrer Google Analytics afin de ne transférer vers les États-Unis que des données anonymes ?
Dans le cadre de la mise en demeure, Google a indiqué utiliser des mesures de pseudonymisation, mais non d’anonymisation. Google propose bien une fonction d’anonymisation des adresses IP, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux États-Unis.
Par ailleurs, la seule utilisation d’identifiants uniques permettant de différencier les individus peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation. Ces données permettent un suivi précis des utilisateurs, dans certains cas sur plusieurs appareils distincts. Si la CEPD admet dans ses recommandations du 18 juin 2021. la possibilité d’usage de la pseudonymisation en tant que mesure supplémentaire, son usage est soumis à une analyse visant à s’assurer que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne, même en prenant en compte les moyens conséquents dont disposent les autorités susceptibles de vouloir procéder à une telle réidentification.
Enfin, l’utilisation conjointe de Google Analytics avec d’autres services de Google, notamment de marketing, peut amplifier le risque de suivi. En effet, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites.
Différence entre anonymisation et pseudonymisation
La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.).
L’anonymisation consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. Une donnée anonymisée n’est plus soumise au RGPD.
Le chiffrement pourrait-il être une garantie supplémentaire suffisante ?
Oui, mais à certaines conditions.
La mise en place de chiffrement de données par Google s’est avérée une mesure technique insuffisante car Google LLC procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Google LLC conservant la possibilité d’accéder aux données des personnes physiques en clair, de telles mesures techniques ne peuvent être considérées comme efficaces en l’espèce (voir les recommandations du Comité européen de la protection des données sur les mesures complémentaires aux transferts, point 85).
Le chiffrement est donc une garantie supplémentaire insuffisante si l’organisme soumis aux demandes des autorités états-uniennes peut accéder aux données personnelles en clair.
Afin que le chiffrement soit considéré comme une garantie supplémentaire suffisante, les clés de chiffrement devraient notamment être conservées sous le contrôle exclusif de l’exportateur de données, ou d’autres entités établies dans un territoire offrant un niveau de protection adéquat (voir les recommandations 01/2020 du Comité européen de la protection des données, point 84).
Existe-t-il des garanties supplémentaires suffisantes pour continuer à utiliser l’outil Google Analytics seul ?
Aucune des garanties supplémentaires présentées à la CNIL dans le cadre de la mise en demeure ne permettrait d’empêcher ou de rendre ineffectif l’accès des services de renseignements états-uniens aux données personnelles des utilisateurs européens lors de l’usage du seul outil Google Analytics.
Cependant, une solution permettant d’impliquer un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure peut être envisageable. Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021.
Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ?
Le consentement explicite des personnes concernées est l’une des dérogations possibles prévues pour certains cas particuliers par l’article 49 du RGPD. Toutefois, comme indiqué dans les lignes directrices du Comité européen de la protection des données sur ces dérogations, elles ne sont utilisables que pour des transferts non systématiques, et ne peuvent constituer une solution pérenne et de long terme, le recours à une dérogation ne pouvant pas devenir la règle générale.
Concernant les solutions alternatives à disposition des acteurs
Existe-t-il des outils alternatifs ?
La CNIL a publié une liste d’outils de mesure d’audience pouvant être exemptés de consentement lorsqu’ils sont correctement configurés.
Cette liste regroupe les outils qui ont d’ores et déjà démontré à la CNIL qu’ils peuvent être paramétrés afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, et ainsi ne pas requérir le consentement de l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés.
Cette liste n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux, notamment les conséquences de l’arrêt « Schrems II ».
Comment s’assurer que les outils de mesure d’audience ne transfèrent pas de données vers un pays tiers non adéquat ?
Dans le cas où l’outil envisagé transfère des données hors de l’Union Européenne ou lorsque la société éditrice de l’outil a des liens capitalistiques ou organisationnels avec une société mère située dans un pays prévoyant la possibilité pour les services de renseignement d’exiger l’accès à des données personnelles situées sur un autre territoire, il est nécessaire d’évaluer le cadre juridique du pays tiers.
Cette évaluation peut se fonder sur :
- les décisions de la CJUE ou de la Cour européenne des droits de l’homme, qui ont pu évaluer la conformité de certaines législations aux standards européens en matière de protection des données.
- les recommandations des CNIL européennes, qui ont par exemple détaillé les garanties essentielles qui doivent être trouvées, en matière de surveillance, dans le pays tiers lors de l’évaluation du niveau de protection des données.
Il peut également être envisagé d’utiliser la méthode de la proxyfication, qui permet, lorsqu’elle est bien configurée, de n’envoyer que des données pseudonymisées à un serveur situé en dehors de l’Union européenne.
Les responsables de traitement peuvent-ils adopter une approche par les risques, prenant en compte la probabilité des demandes d’accès aux données ?
Non.
Les données personnelles transférées dans un pays en dehors de l’Union européenne doivent y bénéficier d’un niveau de protection « substantiellement équivalent » à celui qui est garanti dans l’UE.
En particulier, la possibilité d’un accès aux données personnelles illicite et allant au-delà de ce qui est nécessaire et proportionné dans une société démocratique par des autorités publiques porte une atteinte grave aux libertés et droits fondamentaux des personnes concernées.
Dans le cas où cet accès est possible (et non pas seulement lorsque l’accès est probable) et que les garanties encadrant l’émission de demandes d’accès aux données ne permettent pas de garantir un niveau de protection des données substantiellement équivalent à celui garanti dans l’Union européenne (voir les recommandations du CEPD sur les garanties essentielles), il est nécessaire de prendre des mesures techniques supplémentaires permettant de rendre cet accès impossible ou ineffectif.
Ces mesures sont prévues par les recommandations sur les mesures complémentaires aux transferts du Comité européen de la protection des données.
Pour approfondir
> Présentation de l’arrêt de la CJUE Cookies : solutions pour les outils de mesure d’audience
> Site web, cookies et autres traceurs
> Alternatives aux cookies tiers : quelles conséquences en matière de consentement ?
> Transférer des données hors de l’UE
Les textes de référence
Lire : sur le site de la CNIL, publié le 7 juin
Jean-Philippe Behr
Pascal Lenoir
