Me Etienne Drouard (Geste) "La Cnil récite un raisonnement juridique qui n'est pas applicable à Google Analytics"
Pour Me Etienne Drouard, président de la commission "enjeux réglementaires" du Geste, le raisonnement juridique sur lequel la Cnil s'est appuyée pour mettre en demeure un gestionnaire de site web de se conformer au RGPD ne s'applique pas à l'utilisation des cookies.
JDN. Le Geste a analysé la décision de la Cnil de mettre en demeure un gestionnaire de site web français utilisateur de Google Analytics de se rendre conforme au RGPD. Les éditeurs doivent-ils remplacer Google Analytics ?
Me Etienne Drouard. Conclure que Google Analytics est interdit en Europe sur la base d'une mise en demeure et du raisonnement applicable à la situation d'une seule entreprise serait pareil que de laisser croire que des entreprises ne devraient plus utiliser la 5G pour connecter les téléphones de leurs salariés au motif qu'on s'inquiète de la portée des brevets chinois sur la 5G… Cet amalgame serait incompatible avec l'exigence d'une analyse juridique et technique au cas par cas.
Plusieurs dimensions de cette décision méritent d'après vous une toute autre interprétation que celle publiée par la Cnil…
Il y a d'abord l'aspect contractuel. À la suite de l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE, ndlr), les clauses contractuelles type (les CCT, ndlr), adoptées par la Commission européenne pour encadrer les transferts de données hors de l'UE, ont évolué. Elles requièrent désormais des mesures organisationnelles et techniques supplémentaires que les cocontractants doivent prendre et qui sont propres à chaque type de transfert, selon les données traitées et le service fourni.
En matière de mesure d'audience, l'éditeur peut intégrer son propre identifiant cookie (incompréhensible de son prestataire et non corrélable avec d'autres services). Il peut aussi ne pas transmettre, tronquer ou hacher l'adresse IP avant sa transmission au prestataire ou avant son transfert hors de l'UE. Ces paramètres sont propres à chaque entreprise et à chaque configuration d'un service de mesure d'audience, qu'il s'agisse de Google Analytics ou d'un autre, et on ne peut faire de généralité.
Voulez-vous dire que ces clauses contractuelles suffiraient pour que cela passe même dans le cas des Etats-Unis et de son Cloud Act (qui donne aux autorités américaines la possibilité d'accéder aux données hébergées dans les serveurs informatiques de toute filiale d'entreprise américaine située dans d'autres pays) ?
La CJUE exige des régulateurs européens qu'ils déterminent si les mesures organisationnelles et techniques qui accompagnent ces garanties contractuelles sont appropriées pour faire échec au cadre réglementaire non européen susceptible de s'appliquer et si elles sont adaptées aux velléités d'accès par les autorités étrangères aux données concernées. Les autorités européennes - comme les entreprises européennes, d'ailleurs - doivent donc correctement analyser les procédures étrangères applicables à chaque cas d'usage, tenir compte de leur application concrète par les autorités étrangères et déterminer si les garanties contractuelles et techniques entourant le transfert de données peuvent neutraliser l'applicabilité du droit étranger.
Nous arrivons ici au cœur de la dimension juridique de cette décision de la Cnil : cette dernière se base sur l'arrêt Schrems II de la CJUE, du 16 juillet 2020, qui concernait une affaire qui opposait un internaute autrichien à Facebook. Juridiquement, Facebook est un service de communication publique qui ne peut être qualifié de la même manière qu'un outil de mesure technique de la fréquentation, comme Google Analytics. Les motifs, les instruments et les procédures juridiques que les autorités américaines peuvent mobiliser pour demander d'accéder aux données des utilisateurs qui publient des informations sur un réseau social et interagissent avec d'autres membres ne sont pas du tout les mêmes - comme en droit français, d'ailleurs, que celles qui entourent la fourniture d'un service destiné à des entreprises sans aucun lien avec la publication d'informations en ligne ou un service de messagerie interpersonnelle.
Concrètement, ce qui vaut pour un réseau social ne vaut pas pour la mesure d'audience… C'est cela ?
"Tolèrerait-on en droit français d'assimiler les pouvoirs d'un juge des référés à ceux de la DGSI, au motif qu'ils sont régis par le droit français ?"
Facebook est un service de communication électronique destiné au public. En droit américain, les autorités américaines peuvent interroger les filiales de sociétés américaines en application du Cloud Act si leur demande porte sur la publication de contenus déterminés. Or, Google Analytics sert à générer des statistiques de mesure d'audience d'un site web. Les textes américains ne s'appliquent pas du tout de la même manière que pour l'utilisation d'un réseau social.
Les autorités américaines qui voudraient accéder aux données de Google Analytics devront dans tous les cas identifier les caractéristiques des personnes recherchées et le prestataire - Google - devrait en informer préalablement le publisher qui, de plus, peut demander au prestataire d'exercer une voie de recours préalable. Il n'est donc pas surprenant de constater que, d'après les rapports d'application publiés à ce jour et dont la transparence est prescrite par le droit américain, aucune autorité américaine ne s'est encore jamais intéressée à des cookies de mesure d'audience – ni d'ailleurs à des cookies publicitaires en général.
La Cnil s'est-elle trompée ?
Seul le Conseil d'État pourrait l'affirmer, mais à condition d'être saisi d'une analyse qui suive pas à pas les exigences posées par la CJUE dans l'arrêt Schrems II. En l'état, on peut regretter que la Cnil récite un raisonnement juridique qui n'est pas applicable au service qu'elle étudie. Ce n'est pas seulement une question d'erreur, mais d'abord de méthode : la Cnil elle-même reconnaît qu'elle ne dispose pas de moyens pour analyser les diverses voies procédurales du droit américain – judiciaires ou régaliennes, ce qui est très différent, en fonction de l'activité d'un prestataire, des données traitées par ce dernier, du risque pour la sécurité nationale extérieure américaine, des mesures d'information disponibles pour les prestataires et de voies de recours préalables à toute transmission de données.
Dans le cas de cette mise en demeure concernant l'utilisation de Google Analytics, la conclusion de la Cnil est erronée parce qu'elle se base sur un raisonnement qui ne valait que pour un réseau social, mais qui ne tient pas en matière de cookies, pas davantage qu'en matière de services de cloud d'entreprise, ni même pour un système d'exploitation informatique. Or, le travail du régulateur européen est d'analyser chaque cas, son cadre réglementaire, ses mesures techniques et contractuelles et si cela aboutit ou non à un risque significatif d'accessibilité de données à des autorités étrangères ayant une mission de surveillance étatique ou d'enquête judiciaire. Tolèrerait-on en droit français d'assimiler les pouvoirs d'un juge des référés à ceux de la DGSI, au motif qu'ils sont régis par le droit français ?
Au vu de ces explications, le gestionnaire mis en demeure ne pourrait-il pas contester la décision de la Cnil ?
"Google pourrait décider de transférer uniquement un morceau de l'adresse IP"
Je ne lui conseillerais pas de le faire, car cela serait contraire à ses intérêts immédiats : contester une mise en demeure signifie de ne pas s'y conformer et de risquer de se faire sanctionner par une amende pouvant aller jusqu'à 2% du chiffre d'affaires mondial consolidé, en espérant une voie de recours – non suspensive de la peine ni de l'astreinte, pour obtenir dans 14 mois un arrêt aléatoire du Conseil d'État.
Le dilemme est de choisir entre avoir la paix et tenter d'avoir raison. Il peut se conformer à cette mise en demeure soit en modifiant ses paramètres techniques et organisationnels, soit en considérant que l'abandon de Google Analytics en l'état ne représenterait pas un coût opérationnel et stratégique majeur au regard des menaces – juridiques, médiatiques, opérationnelles et financières, qu'implique une mise en demeure de la Cnil.
Par ailleurs, la Cnil semble ignorer dans ce cas particulier que l'existence d'un transfert de données hors de l'UE ne relève pas de l'éditeur du site. Elle résulte d'un transfert entre Google Ireland - processor, ou sous-traitant, européen - et Google Inc. - sub-processor , ou sous-traitant ultérieur , américain. La validité de ce transfert Irlande-Etats-Unis s'analyse en Irlande, pas en France. En effet, elle repose sur des CCT à jour de la décision Schrems II, dont la conformité au RGPD et l'analyse des mesures techniques appropriées qui les accompagnent, relèvent de la compétence juridictionnelle de l'autorité irlandaise, en sa qualité de cheffe de file (en application du RGPD) et non pas de la Cnil s'adressant à l'éditeur français d'un site web.
Quelles peuvent être les mesures techniques permettant d'adapter le niveau de sécurité au contexte américain ?
La Cnil estime que Google Analytics génère le transfert des données personnelles aux Etats-Unis. Ces données sont l'adresse IP d'un terminal et l'identifiant du cookie qui lui est associé. D'un point de vue purement technique, deux adaptations sont possibles. Tout d'abord, Google pourrait décider de transférer uniquement un morceau de l'adresse IP : cela permettrait d'effectuer la mesure d'audience qui détermine un nombre de visiteurs uniques tout en empêchant de remonter à un utilisateur déterminable. Cette hypothèse est à l'étude depuis plusieurs mois par la Cnil italienne. L'adresse IP - indispensable à toute communication électronique - ne serait pas dans ce cas assimilable à une donnée personnelle lorsqu'elle serait suffisamment tronquée.
Un deuxième paramètre modifiable consiste à appliquer aux cookies de Google Analytics un identifiant propre à l'éditeur du site sur lequel un tel cookie de mesure d'audience est déposé. Dans ce cas, Google ne pourra jamais retrouver ce cookie sur un autre site afin d'établir des corrélations de comportement de navigation. Cette solution est employable directement par le publisher lui-même. Des entreprises appliquent ce type de paramètre depuis plus d'un an sans impact sur la qualité de la mesure de leurs audiences.
Le Geste souhaite-il sensibiliser la Cnil à la nécessité pour l'autorité d'approfondir son analyse ?
"On ne peut réguler ce type d'enjeu structurel à coup de sanctions médiatiques sur un acteur européen pris au hasard pour faire l'exemple"
La Cnil sait qu'il lui faudra approfondir son analyse en cas de débat contradictoire, mais ce n'est pas la méthode qu'elle a choisie dans un premier temps. Et c'est très inquiétant pour l'impact que cela pourra générer. Ce même raisonnement s'appuyant sur Schrems II et qui n'est pas adapté à un outil de type cookies d'audience ou publicitaire pourrait demain être transposé à tout autre service numérique : serveurs, systèmes d'exploitation des appareils mobiles, Office 356… Les entreprises se posent des questions sur l'effet domino de ce type de menace et d'insécurité : elles sont bien obligées.
La Cnil fera-t-elle marche arrière ?
Bien sûr que non. Le mouvement pour une souveraineté numérique européenne prend corps et la complexité des sujets techniques que la Cnil a la charge de réguler est parfois balayée par des convictions qui n'ont pas encore été patinées par le temps. Mais il faudra néanmoins trouver un moyen de faire converger les politiques européennes en la matière et les initiatives des régulateurs indépendants de protection des données personnelles. On ne peut réguler ce type d'enjeu structurel à coup de sanctions médiatiques sur un acteur européen pris au hasard pour faire l'exemple.
Les objectifs et principes du RGPD ne sont pas faits pour clouer des cobayes européens au pilori en espérant que la peur du gendarme fera le reste. D'ailleurs, l'approche géographique de la localisation des données personnelles selon laquelle ces données ne devraient pas circuler hors de l'UE est parfaitement contraire à l'esprit et à la lettre du RGPD, comme de son prédécesseur (la Directive 95/46). L'Union européenne n'a pas choisi de fermer ses frontières aux transferts de données. Depuis 27 ans, elle a incarné ses valeurs dans ces textes fondamentaux, qui exportent nos règles sans enfermer nos économies. La CJUE et le RGPD ne disent pas autre chose.