Google et le RGPD : une conciliation difficile ?

Dans son plan stratégique, la CNIL met en avant le rôle du RGPD en tant qu'outil permettant un respect effectif " des droits des personnes et une égalité concurrentielle entre les acteurs économiques".

Bien que cette égalité soit recherchée et souhaitée, notamment via les projets de régulation d’Internet qui sont actuellement en cours de négociation au sein de l’Union européenne, visant entre autres à limiter la domination des grands comptes et à freiner la propagation des contenus illicites, il ne fait aucun doute que les GAFAM sont aujourd’hui les leaders du marché numérique et qu’ils détiennent une quantité énorme de données appartenant aux quelques milliards de leurs utilisateurs. 

Parmi ces plateformes, Google constitue le premier moteur de recherche au niveau mondial avec un chiffre d’affaires qui s’élève à plus de 250 milliards de dollars américains. Cette entreprise proposant des services attractifs et des outils innovants avec des fonctionnalités élaborées et intuitives repose son activité sur les données des personnes. Mettant en avant la gratuité de ses prestations, quoiqu’il s’agisse d’une fausse gratuité, ce géant de l’Internet a tout de suite réussi à capter l’attention des internautes et à décider en quelque sorte du devenir de leurs données. Ceux-ci se trouvent le plus souvent démunis : pour pouvoir profiter pleinement des fonctionnalités d’une solution ou encore des avantages d’un service, il faudrait obéir aux règles prescrites. Aucune marge de négociation n’existe et tout désaccord peut impliquer un rejet immédiat. 

Nous assistons dès lors à un affrontement entre protection de la vie privée d’une part et révolution numérique d’autre part. L’équilibre est difficilement atteignable et la pratique a montré que cet univers ne peut exister sans les données. De vives tensions internationales ont dès lors pris naissance en raison notamment du manque d’indépendance technologique de l’Union européenne. La plupart des entreprises en Europe recourent à des outils américains, ce qui implique le plus souvent leur soumission à des règles étrangères. Or, le niveau de protection des données aux États-Unis n’est pas équivalent à celui exigé par les textes européens et cette divergence est à l’origine de fortes tensions.  

Une réglementation source de conflits  

Si le RGPD n’a pas été immédiatement contesté par les entreprises outre-Atlantique, la lourdeur des règles européennes commence à se ressentir ces derniers mois. Avec l’annonce de la société Meta envisageant la possibilité de ne plus opérer ses services proposés par Facebook et Instagram en Europe, ce géant de l’Internet met en avant la complexité des obligations qu’implique l’entrée en application du RGPD. 

De la même manière, Google semble profiter de sa position sur le marché et ne manque pas de faire connaître ses opinions. Dans sa communication qui a suivi la décision de l’autorité autrichienne remettant en cause la conformité de Google Analytics, l’entreprise a évoqué la nécessité de mettre en place un nouveau cadre législatif européen en remplacement du Privacy Shield. 

Avec l’invalidation du Privacy Shield en juillet 2020, les transferts de données entre l’Union Européenne et les États-Unis sont désormais illégaux, à moins que des garanties supplémentaires ne soient mises en place, afin d’interdire notamment le potentiel accès des autorités américaines à ces informations. Or, cette garantie n’étant pas assurée, la CNIL a remis en cause la conformité de Google Analytics en invitant le gestionnaire d’un site web de se conformer aux exigences du RGPD ou encore de ne plus utiliser l’outil dans les conditions actuelles.  

De même, l’année 2021 a été clôturée par une sanction record : 150 millions d’euros pour non-respect par Google des dispositions sur les cookies. Bien que déjà sanctionnée en 2020 pour les mêmes motifs, Google a précisé que les manquements soulevés ne ressortent ni de la directive ePrivacy, ni du RGPD, laissant ainsi entendre qu’elle n’est pas concernée par la règle selon laquelle il doit être aussi simple de refuser les cookies que de les accepter. Or, la CNIL l’a justement précisé : la facilité de refus des cookies permet de répondre aux exigences du consentement introduites par le RGPD selon lesquelles le consentement doit notamment être collecté de manière libre et éclairé. 

Ce conflit entre l’Union Européenne et les géants du web semble n’être qu’à ses débuts, chacun souhaitant atteindre ses propres objectifs : protéger les données de ses résidents pour l’Union Européenne et rassembler encore plus de données pour Google.   

Une souveraineté affaiblie  

La force économique de Google et les technologies qu’elle propose laissent planer des doutes sur la souveraineté des données. Celle-ci permet aux organismes, voire à l’État, de contrôler la gestion des données des résidents en encadrant notamment les accès et les transferts. Or, dans un monde gouverné par de grands comptes basés en dehors de l’Union Européenne, la maîtrise de l’utilisation des données personnelles des européens s’avère complexe.   

Ceci est notamment dû au conflit existant entre, d’une part la réglementation européenne, et d’autre part le Cloud Act. Alors que le RGPD entend protéger les données se trouvant sur le territoire européen ainsi que l’accès à ces données, la loi fédérale permet pour sa part aux autorités américaines d’accéder aux données détenues par les entreprises américaines même lorsqu’elles se trouvent en dehors du territoire américain. Bien qu’il s’agisse de données de citoyens européens régies par le RGPD, d’autres lois peuvent ainsi s’appliquer sur ces données lorsqu’elles sont entre les mains des entreprises étrangères, et ceci n’est pas sans conséquence sur le niveau de leur protection. 

La remise en cause de la conformité de Google Analytics révèle l’intention de la France ou encore de l’Europe de reconquérir la souveraineté de leurs données. Les transferts des données vers les États-Unis sont considérés comme étant illégaux et le recours à des garanties supplémentaires ou encore à des mesures techniques renforcées ne semble pas suffisant, en ce qu’il ne permet pas d’empêcher l’accès aux données des autorités américaines. Le message de la CNIL est loin d’être neutre et laisse penser que l’autorité de contrôle est déterminée à favoriser les solutions ‘made in Europe’.  

De même, le Cloud Azure de Microsoft a été désigné pour stocker les données de santé dans le cadre de la création du Health Data Hub. Or, au vu des risques que peut engendrer un possible transfert des données vers des pays tiers, la demande d’autorisation du Health Data Hub a été retirée, ce qui constitue une réelle avancée en matière de souveraineté des données.

Ces risques ont également été mis en avant par la CNIL dans sa communication sur les thématiques prioritaires de contrôle de 2022. Le recours au Cloud peut en effet entraîner des transferts massifs de données hors de l’Union Européenne, à destination de pays n’offrant pas un niveau de protection adéquat. Une attention particulière sera dès lors portée à ces questions et à l’encadrement des relations contractuelles entre les responsables de traitement et les fournisseurs de ces solutions. 

Le recours à des hébergeurs de données américains pour le stockage des données peut alors être contesté. Or, malgré la détermination de l’autorité française, des collaborations franco-américaines se dessinent avec, d’une part Thalès et Google Cloud qui ont établi un partenariat pour développer conjointement un Cloud, et d’autre part Orange et Capgemini qui se sont associés à Microsoft en vue de créer un Cloud Azur. Une question peut dès lors se poser sur la possibilité d’atteindre l’autonomie recherchée en s’appuyant sur un soutien étranger pour la création de produits futures.  

Une stratégie à améliorer  

En observant les différentes étapes qu’a connu le cadre juridique de transfert des données personnelles vers les Etats-Unis depuis l’adoption de la Directive 95/46/CE jusqu’à l’invalidation du Privacy Shield, nous constatons un durcissement progressif des contraintes pour les entreprises souhaitant transférer les données vers des pays tiers.  

En Europe, la protection de la vie privée des personnes repose essentiellement sur des textes légaux. La mise en application du RGPD avait notamment pour objectif d’uniformiser les règles sur la protection des données des personnes au niveau européen et de permettre aux individus de reprendre le contrôle sur leurs données. Or, il ne semble pas que ce dernier objectif soit atteint. En outre, ces données sont le plus souvent hébergées hors de l’Union Européenne et majoritairement soumises à des législations étrangères.   

Afin de regagner la souveraineté des données, n’est-il pas nécessaire de revoir la stratégie suivie par l’Union Européenne ?  

L’uniformisation des règles au niveau européen, quoique nécessaire, ne doit pas faire négliger la nécessité de coopérer afin de mettre en place des solutions technologiques fiables et attractives pour les entreprises. Au lieu de se contenter de renforcer le cadre juridique, il serait recommandé de développer une nouvelle stratégie commune de telle sorte à avoir la maîtrise des futurs outils à tous les stades de leur mise en place. Pour ce faire, les entreprises françaises et européennes devraient bénéficier du soutien des Etats et avoir une certaine marge de manœuvre dans l’utilisation des données à des fins de recherche et d’innovation. 

On ne peut ainsi que regretter que les parties prenantes ne cherchent à traiter que les conséquences et non l’origine du problème. Mettre des barrières à l’utilisation de la data par les entreprises européennes aboutit en pratique à l’inverse de l’effet recherché, ces datas se retrouvant alors hébergées hors de l’Union. Ce n’est en effet qu’en couplant instrument juridique et solution technologique que nous pouvons espérer préserver cette ressource !