Les autorités de contrôle européennes s'accordent sur l'utilisation de Google Analytics

La CNIL a publié, le 7 juin 2022, une série de questions-réponses portant sur la conformité de l'utilisation de Google Analytics vis-à-vis du RGPD, et plus précisément de l'arrêt Schrems II.

Un rapide rappel du contexte

Le 16 juillet 2020, l’arrêt dit "Schrems II" a provoqué une véritable rupture dans l’équilibre international des transferts de données en invalidant le Privacy Shield, qui permettait jusqu’alors, le libre transfert de données de citoyens européens à destination des États-Unis. 

La CJUE (Cour de justice de l'Union européenne) considère, dans cet arrêt, que :

“Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers […], ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises [par le] droit de l’Union”.

Ainsi, en l’absence d’une décision d’adéquation visant les États-Unis, seule la mise en place de mesures techniques, juridiques et organisationnelles supplémentaires appréciées au cas par cas et empêchant l’accès des autorités américaines aux données des citoyens européens pourrait justifier un transfert transatlantique de données. 

C’est précisément en se basant sur une telle décision qu’en août 2020, l’association NOYB (None Of Your Business, organisation de protection de la vie privée fondée par Max Schrems) déposait 101 plaintes auprès des différentes autorités de contrôle européennes, telles que la CNIL en France, contre l’utilisation de Google Analytics.

Google Analytics est un outil d’analyse d’audience de sites web et d’applications, utilisé par plus de 10 millions de site, soit plus de 80% du marché mondial*.

L’association NOYB soutient dans ses plaintes que l’utilisation de Google Analytics engendre un traitement de données à caractère personnel, ainsi qu’un transfert illégal de ces mêmes données vers les États-Unis.

Une position stricte de l’autorité autrichienne

L’autorité de contrôle autrichienne fut la première à se prononcer sur la question par sa décision du 21 décembre 2021. 

Elle donne, dans ce cadre, entièrement raison à l’association NOYB en considérant :

  • Que l’utilisation de Google Analytics implique bien un traitement de données à caractère personnel**, données qui sont également transférées à Google, et donc vers les États-Unis.
  • Que ce transfert de données n’est pas justifié par une décision d’adéquation, que la simple présence de Clauses Contractuelles Types (CCT) ne permet pas de passer outre les programmes de surveillance étatique, et donc que des mesures supplémentaires doivent être implémentées.
  • Que lesdites mesures supplémentaires mises en place par Google sont inefficaces et insuffisantes ne permettant pas d’empêcher ou de limiter l’accès des agences américaines de renseignement aux données. Le fait par exemple que Google chiffre les données ne constitue pas un argument pertinent dès lors que Google possède également les clés de déchiffrement et peut donc à tout moment accéder aux données en clair. De même, l’anonymisation opérée par Google sur les adresses IP n’est pas jugée pertinente en ce qu’elle n’intervient que dans un second temps, lorsque Google a déjà opéré un traitement initial sur ces données.

L’autorité de contrôle autrichienne a confirmé sa position dans une décision du 22 avril 2022 à la suite d’une plainte concernant de nouveau l'utilisation de Google Analytics. 

Après avoir réitéré les différents points abordés ci-dessus, elle refuse également un nouvel argument soulevé par Google, qui appelait les autorités de contrôle à adopter une approche par les risques, selon laquelle les garanties supplémentaires autorisant un transfert ne devraient être nécessaires qu’en cas de risque important pour les droits et libertés de la personne concernée ; ou en tout cas que le degré d’exigence des autorités de contrôle devraient être adapté à la probabilité du risque.

L’autorité autrichienne refuse d’adopter une telle approche, dont l’angle probabiliste n’est nulle part suggéré dans le texte du RGPD, et ouvrirait la porte à une appréciation arbitraire du risque, ainsi qu’à de potentielles dérives.

Une position unanime des autorités européennes scellée par la CNIL

La position en France de la CNIL, exprimée par la mise en demeure rendue publique du 22 février 2022 puis encore plus clairement par la publication d’un ensemble de questions-réponses sur le sujet le 7 juin 2022, se révèle entièrement alignée sur celle de son homologue autrichienne.

Ainsi, la CNIL indique clairement que l’utilisation de Google Analytics est aujourd’hui, en l’état, illégale  estimant que  : "

  • Les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; 
  • Les données d’internautes européens sont donc transférées illégalement par le biais de cet outil”.

La CNIL ajoute qu’il n’est aujourd’hui pas possible de paramétrer Google Analytics de façon à en rendre l’utilisation conforme aux règles du RGPD portant sur les transferts de données.

Reprenant fidèlement la position de l’autorité autrichienne, la CNIL finit également sa série de questions-réponses en rejetant toute approche basée sur les risques : dès lors que l’accès à des données personnelles de citoyens européens par des autorités gouvernementales étrangères est possible, des garanties supplémentaires doivent être implémentées.

La probabilité de cet accès n’a aucune influence sur les obligations liées aux transferts de données.

La cohérence des positions françaises et autrichiennes sur la question de l’utilisation de Google Analytics n’est pas surprenante dans la mesure où les différentes autorités de contrôle européennes ont coordonné leurs approches par le biais d’un groupe de travail, d’ailleurs explicitement mentionné par la CNIL  :  “ [...] les autorités européennes saisies de plaintes par l’association NOYB [...] sur le sujet des transferts par Google Analytics se sont organisées en groupe de travail pour examiner ensemble les questions juridiques soulevées dans ces dossiers et coordonner leurs positions et décisions”.

C’est pourquoi nous pouvons anticiper des décisions similaires dans toute l’Europe, ainsi qu’une condamnation aussi ferme qu’unanime par les différentes autorités de contrôle concernant l’utilisation de Google Analytics.

Des conséquences importantes et des solutions à trouver

Au vu de la popularité de Google Analytics comme outil de mesure d’audience, la condamnation univoque de l’utilisation de cet outil par les autorités européennes interroge inévitablement sur les conséquences de telles décisions pour les éditeurs de site européens, qui se voient obligés de changer de technologie dans un laps de temps restreint.

La CNIL semble avoir conscience de ces difficultés et mentionne, dans ses questions-réponses, trois potentielles solutions :

  •  La première consiste simplement à mettre en place des outils alternatifs dont elle a publié une liste en septembre 2021.
  •  La seconde consiste à utiliser un serveur proxy afin d’éviter “tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure”. Ce serveur proxy pourra par exemple remplacer les identifiants uniques utilisés par Google Analytics, les adresses IPs, ou toute autre donnée pouvant permettre une réidentification de la personne concernée, avant de les transmettre à Google.
  •  La troisième consiste à utiliser le chiffrement, en s’assurant cependant que Google n’ait pas accès aux clés de chiffrement, et que ces dernières soient donc sous le contrôle exclusif de l’exportateur de données.

Les propositions évoquées par la CNIL comportent cependant chacune des difficultés pratiques dans leur implémentation par les éditeurs de site.

  •  L’utilisation d’un outil alternatif n’assure pas seule la conformité au RGPD, dans le sens où l’éditeur de site devra dans chaque cas s’assurer que les données personnelles transmises dans le cadre de l’utilisation de l’outil ne seront pas mises à disposition de manière non-autorisée à des autorités étrangères : en effet, comme la CNIL l’admet elle-même, la liste qu’elle propose “n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux”.
  • Le serveur proxy, quant à lui, peut s’avérer complexe à mettre en place à la fois d’un point de vue technique, mais également d’un point de vue juridique dans le sens où les mesures qu’il doit implémenter afin de limiter de manière satisfaisante les données transmises sont nombreuses et demandent un réel examen in concreto des enjeux de réidentification.
  • Enfin, la mise en place d’un chiffrement dont les clés seraient sous le contrôle exclusif de l’exportateur ne correspond pas au modèle proposé pour le moment par Google.

Il semble donc aujourd’hui que les différentes autorités de contrôle européennes se prononcent unanimement contre l’utilisation de Google Analytics au vu des transferts qu’elle engendre. 

Une position qui fait sens d’un point de vue juridique, et qui se place d’un point de vue politique dans la lignée de la décision Schrems II en s’opposant fermement aux lois de surveillance américaines, qui ne sont pas jugées compatibles avec les valeurs démocratiques européennes. 

Une approche tranchée qui n’est pas sans rappeler les mots de Max Schrems, à l’origine des arrêts Schrems et Schrems II :  "In the long run we either need proper protections in the US, or we will end up with separate products for the US and the EU. I would personally prefer better protections in the US, but this is up to the US legislator - not to anyone in Europe."

Rappelons cependant pour conclure qu’une telle position n’est pas sans conséquences pour l’Europe et qu’il s’agira, comme toujours, de trouver un équilibre satisfaisant entre nos aspirations politiques et notre réalité économique.

« Classement des services d'analyse de trafic » [archive], sur W³Tech (mise à jour quotidienne).

 ** Notamment des adresses IPs, mais surtout un numéro d’identification unique permettant d’identifier le navigateur ainsi que l’appareil de l’internaute.