Alexandra Iteanu (Iteanu Avocats) "Toute entreprise se servant de Google Analytics est désormais susceptible d'être sanctionnée par la Cnil"

Pour l'avocate responsable du pôle RGPD et data du cabinet Iteanu Avocats, en mettant en demeure un utilisateur de Google Analytics, la Cnil pousse les entreprises à se tourner vers des solutions européennes.

JDN. La Cnil vient de mettre en demeure un gestionnaire de site web français qui utilise Google Analytics de se conformer au RGPD. Que signifie cette décision ?

Alexandra Itenau, responsable du pôle RGPD et data du cabinet Iteanu Avocats. ©  Iteanu Avocats

Alexandra Iteanu. Cette décision n'est pas tout à fait surprenante, on pouvait s'y attendre. La différence maintenant est que c'est clairement établi. Cela signifie très concrètement que toute entreprise européenne utilisant Google Analytics est susceptible d'être sanctionnée par la Cnil du fait de ne pas respecter les niveaux de protection requis par le Règlement général sur la protection des données.

La Cnil motive sa décision par le fait que Google transfère ces données aux Etats-Unis et que ces transferts sont illégaux. L'arrêt Schrems II de la Cour de Justice de l'Union européenne (CJUE) laissait malgré tout la porte ouverte à certains transferts, non ?

Oui, tout à fait mais cela ne concerne pas les Etats-Unis. De fait, depuis que la CJUE a invalidé le Privacy Shield (l'accord bilatéral qui autorisait le transfert de données entre l'Europe et les Etats-Unis, ndlr), on peut encore s'appuyer sur des dispositions prévues dans le RGPD : les clauses contractuelles type. Il s'agit d'un accord type qui peut être signé entre l'exportateur et l'importateur de ces données. Mais la CJUE a bien précisé qu'il revient à ces acteurs d'évaluer si en pratique la législation du pays importateur respecte le même niveau de protection offert par le RGPD. Or, la législation fédérale en vigueur aux Etats-Unis n'offre pas ce même niveau d'exigence.

Google Analytics rassemble des statistiques de navigation. Peut-on considérer ces données comme des données personnelles ?

Les données personnelles au sens du RGPD comprennent un large spectre d'informations qui permettent d'identifier directement ou indirectement une personne. Les données de navigation sont donc bien des données personnelles.

"Google Analytics est un sous-traitant, et non le responsable du traitement des données"

Pourquoi sanctionner le gestionnaire du site et non Google Analytics directement ?

Parce que pour le RGPD, Google Analytics est un sous-traitant, et non le responsable du traitement des données. Ce sont donc les entreprises qui se servent de Google Analytics qui déterminent les moyens et les finalités du traitement des données. Etant responsables, c'est à elles de s'assurer que leurs sous-traitants présentent toutes les garanties de conformité au RGPD.

La Cnil impose dans sa décision que ce gestionnaire n'utilise plus Google Analytics "dans les conditions actuelles". Google pourrait-il offrir une solution à ce problème ?

Une des solutions serait que ces données soient transférées vers les serveurs de l'entreprise en Irlande. Mais même dans ce cas se poserait la question d'une potentielle ingérence des autorités américaines.

"Même si les données étaient transférées vers les serveurs de Google en Irlande se poserait la question d'une potentielle ingérence des autorités américaines"

La raison est que le Cloud Act (pour Clarifying lawful overseas use of data act, loi fédérale américaine promulguée an mars 2018, ndlr) donne aux autorités américaines la possibilité d'accéder aux données hébergées dans les serveurs informatiques de toute filiale d'entreprise américaine située dans d'autres pays. Les autorités d'enquête américaines peuvent ainsi accéder aux données personnelles des citoyens européens sans les en informer ni leur proposer de recours…

Une très grande majorité de sites utilisent Google Analytics… Concrètement cela veut dire quoi dans l'immédiat ?

Cette décision pousse les entreprises à se tourner vers des solutions alternatives plus protectrices du RGPD. Elle met en lumière la dépendance de l'Europe face aux outils américains, Google mais aussi Microsoft, Amazon… La Cnil montre à travers cette décision qu'elle agit en tant que gardienne de notre souveraineté numérique, ce qui est très bien. Encore faut-il que, face à cette décision, il y ait des alternatives techniques qui puissent être proposées aux acteurs français. Cela nécessite des moyens qui permettent à ces solutions d'émerger.