Google Analytics déclaré illégal par la Cnil : ce n'est que le début
Trois plaintes avaient été déposées contre Auchan, Decathlon et Sephora pour leur intégration de Google Analytics. Trois autres portant sur Facebook Connect sont en cours d'instruction. A terme, tous les services stockant des données aux Etats-Unis pourraient être visés.
Patatras. Ou plutôt badaboum. Pendant plus de 15 ans, comme à son habitude, Google a patiemment et méthodiquement construit sa position dominante dans le monde de la web analyse, en installant son outil Google Analytics à plus de 70% de parts de marché à l'échelle planétaire. Tout cela pour que de fichus Européens et leur obsession de la protection de la vie privée finissent par déclarer toute cette belle mécanique illégale.
"Les données des internautes sont transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD"
Jeudi 10 février, un mois après son homologue autrichienne, la Cnil, autorité française de protection des données personnelles, a en effet publié sur son site Internet un court texte pour expliquer avoir mis en demeure un gestionnaire de site web de se mettre en conformité avec les règles régissant le transfert de données. En cause, son utilisation de Google Analytics, dont l'anonymisation des datas est jugée insuffisante au regard de leur parcours : un aller-retour sans péage vers les Etats-Unis et les centres de données de Google. Une terre où, en vertu de la législation locale, les autorités peuvent avoir libre accès aux données des internautes.
La Cnil ne le dit pas autrement : "Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d'accès des services de renseignements américains à ces données." Le texte de l'autorité française a beau être court au regard de son impact dans le monde du web, il a le mérite de la clarté. Autre morceau choisi : "La Cnil constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD".
Attention cependant : dans son communiqué, la Cnil ne dit pas s'en prendre au géant américain. C'est bien le gestionnaire de site utilisateur de la solution d'analytics qui est mis en demeure. Comment celui-ci peut-il se conformer au règlement européen dans le délais d'un mois imposé par l'autorité ? "Si nécessaire en cessant d'avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n'entraînant pas de transfert hors UE", répond la Cnil. Le gestionnaire de site devra donc analyser la plainte pour voir s'il peut supprimer certaines données transférées à Google Analytics afin de respecter la règlementation.
Au fait, qui est-il ce gestionnaire de site ? Conformément à ses habitudes, la Cnil ne le dit pas. Mais que cette première victime expiatoire se console, elle n'est que la première d'une longue liste : "D'autres procédures de mises en demeure ont été engagées par la Cnil à l'encontre de gestionnaires de sites utilisant Google Analytics". Pour savoir qui sont ces malheureux, un petit flash-back est nécessaire.
Plaintes contre Auchan, Sephora et Décathlon
La mise en demeure de la Cnil est en fait la conséquence de l'une des 101 (oui, pas 100, 101) plaintes déposées en 2020 par l'activiste autrichien de la donnée perso Max Schrems et de son association NOYB. Des plaintes adressées aux différentes autorités européennes de protection de la vie privée, qui elles-mêmes faisaient suite à une décision de justice, déjà initiée par le militant. En résumé, rappelle la Cnil, l'arrêt "Schrems II" de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020 a mis "en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n'étaient pas correctement encadrés". De quoi "invalider le régime de transferts de données entre l'Union européenne et les Etats-Unis dit Privacy shield", expliquait la Cnil à l'époque.
Qui en France était concerné par les plaintes de Max Schrems portant sur l'utilisation de Google Analytics ? Auchan, Sephora et Décathlon. Les trois plaintes sont respectivement disponibles ici, ici et là. A noter que l'Autrichien mitraille à tout va, car trois autres Français sont dans son collimateur, avec des plaintes déposées cette fois pour l'utilisation du Facebook Connect. Il s'agit d'Auchan, de Free Mobile et du Huffington Post. Pour les amateurs de tableau de chasse, la liste complète des plaintes est disponible ici.
Google et Google Analytics ne seront pas les seules victimes
Si les mises en demeure pour les deux co-accusés du premier gestionnaire de site ne font pas de doute, il n'y en a pas non plus beaucoup sur les futures décisions des homologues européens de la Cnil et de l'autorité autrichienne, les plaintes faisant l'objet d'une "coopération" entre elles, écrit la Cnil. Pas de doute non plus sur le fait que Google et Google Analytics ne seront pas les seules victimes. Tous les services faisant transiter des données personnelles par-dessus l'Atlantique finiront dans le même bateau. On peut notamment penser aux outils de connexion type Google Connect, et le Subscribe with Google utilisé par de nombreux sites média.
Et dans l'immédiat ? Pour les éditeurs de sites, difficile de se passer de Google Analytics tant l'outil est omniprésent, puissant, et intégré à l'écosystème Google, y compris dans son versant publicitaire. Mais il leur faudra juger s'ils sont concernés par la décision de la Cnil : font-ils transiter des données personnelles aux Etats-Unis comme le site incriminé ? Ce n'est pas forcément le cas et leur utilisation de Google Analytics peut être conforme à la règlementation s'ils n'ajoutent pas de données personnelles aux informations transmises à Google Analytics. S'ils se retrouvent contraints de changer d'outil, ils pourront piocher dans la liste des solutions validées par la Cnil, disponible ici, la plus connue étant Analytics Suite Delta d'AT Internet.
En face, Google peut-il adapter Google Analytics ? Après la décision de l'autorité autrichienne, le géant américain s'était fendu d'une communication. Plutôt que de proposer une évolution de son outil, il réclamait un nouveau cadre législatif européen en remplacement du Privacy shield. Peu de chance que sa position ait évolué.