L’utilisation de Google Analytics écartée par la CNIL, possible sous conditions

Référence :  Décision de la CNIL du 8 juin 2022 : Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ?

L’utilisation de Google Analytics a largement été critiquée par la CNIL voir écartée en raison de transfert illégaux de données personnelles vers les Etats-Unis. Le simple fait de modifier les paramétrages concernant la collecte de l’adresse IP afin de chiffrer l’identifiant ne suffit pas pour autoriser ce transfert.

Google Analytics est un outil de traçage qui permet de mesurer l’audience d’un site web. L’objectif affiché par Google est donc d’améliorer et mieux cibler ces actions marketing auprès des citoyens européens en fonction du nombre de « clics ».

La CNIL soulève deux difficultés. D’une part pour procéder à de tels calcul, Google collecte les adresses IP, l’empreinte du navigateur ou toutes autres données identifiantes des utilisateurs. D’autre part, les données ainsi collectées sont transférées aux USA qui ne présente pas de garanties suffisantes de protection des données personnelles.

 

Rappel du contexte

 

La Cour de Justice de l’Union Européenne dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield car cet accord ne permettait pas de garantir un niveau suffisant de protection des données personnelles au regard du RGPD. La Cour rappelle par ailleurs la possibilité de mettre en place des Clauses Contractuelles Type (ci-après CCT) plus protectrices.

Néanmoins, la CNIL dans une décision « Google Analytics » du 10 février 2022 a considéré que les mesures techniques et organisationnelles prises dans le cadre des CCT n’étaient pas suffisantes. En effet, il a été reproché aux différents sites internet dans le cadre de ces clauses, de ne pas règlementer l’accès des données personnelles aux services de renseignement américains ni de rendre illicites les demandes d’accès mais également de ne pas mettre en œuvre les mesures techniques et organisationnelles pour rendre effective la pseudonymisation, la protection des communications ainsi que les mesures alternatives conformément à l’article 32 du Règlement Général sur la Protection des Données (ci-après RGPD).

Pour donner suite à cette décision de la CNIL, les éditeurs de sites internet ont mis en place des mesures pour tenter de répondre aux exigences posées par cette autorité de contrôle notamment en proposant de modifier les paramétrages de la collecte des adresses IP.

La CNIL dans sa décision du 7 juin 2022 a considéré que le seul fait de modifier les paramétrages du site web ne constitue pas une mesure technique et organisationnelle suffisante conformément à l’article 24.1 du RGPD.

Pour le gendarme de la donnée personnelle, le seul fait de modifier les conditions de traitement de l’adresse IP en les chiffrant ne suffit pas pour 2 raisons :

  • l’adresse IP est toujours transférée aux Etats-Unis ;
  • l’adresse IP ainsi transférée est continuellement traitée, ainsi le risque de réidentification persiste.

Toutefois la CNIL va être force de précision.

 

Les solutions envisagées

 

Les éditeurs de sites internet peuvent concilier les systèmes de mesure d’audience avec les exigences de la CNIL.

Dans sa prise de position du 7 juin 2022, la CNIL propose la « proxification », solution allant au-delà de la simple modification des paramétrages du site. En effet, cette mesure fait appel à un mandataire qui va créer le lien entre le serveur (ici Google) et l’utilisateur. La mise en place du proxy doit répondre à plusieurs critères et conditions d’hébergement.

Pour ce qui est de la première condition, il conviendra de constater « l’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure », « la suppression de toute autre donnée pouvant mener à une réidentification » ou encore « la suppression de tout paramètre contenu dans les URL collectées ».

Pour la seconde condition la CNIL a recommandé que l’hébergement devra se faire vers un pays qui garantisse un niveau suffisant de protection des données.

Pour venir compléter son appréciation, l’autorité indépendante mentionne les recommandations du comité européen sur la protection des données (CEPD) publiées le 18 juin 2021. La Commission met en lumière certaines mesures supplémentaires essentielles. Celles-ci devront être évaluées au cas par cas afin de s’adapter au mieux aux différentes situations de non-conformité. Ainsi, les mesures recommandées sont cumulatives et reprennent par exemple la pseudonomysation, le traitement fractionné de données, la possibilité pour les utilisateurs d’exercer leurs droits, une organisation interne au sein des entreprises qui prévoit la désignation d’une équipe spécifique composée de spécialistes de l’informatique et de la législation en matière de protection des données ou encore la formation des professionnels au sein des entreprises… (cette liste est non exhaustive). Enfin, la commission ne manque pas de souligner la complémentarité des instruments de protection aujourd’hui mis en place à la fois par l’article 46 du RGPD qui encadre le transfert de données vers l’étranger et de ces lignes directrices.

Force est de constater que la décision de la CNIL a pour objectif de revaloriser les solutions européennes et imposer une souveraineté à l’échelle locale. L’autorité indépendante s’inscrit ainsi dans la lignée du DMA qui vise à règlementer « le pouvoir » des grandes entreprises et ainsi créer une concurrence loyale dans le marché numérique en Europe. Il faut donc créer des conditions favorables à l’égard des entreprises françaises afin qu’elles puissent innover dans un environnement plus équitable.

 

Pour en savoir plus :

 

Un article rédigé par Fabrice Degroote, avocat associé IP/IT chez Simon Associés