Google Analytics : la Cnil apporte des précisions

La Cnil publie de manière anonymisée la décision de mise en demeure visée dans son communiqué relatif à Google Analytics.

Les professionnels de la protection des données l’espéraient, la Cnil l’a fait. Elle a publié de manière anonyme la décision de mise en demeure, objet de son communiqué du 10 février 2022.

Rappel de la position de la Cnil

L’association NYOB (None of Your Business) est à l’origine d’une centaine de plaintes déposées auprès de différentes autorités de protection des données (APD). En cause : le transfert de données vers les États-Unis lors de l’utilisation de l’outil Google Analytics.

Compte tenu de la similitude des plaintes déposées dans 27 Etats membres, un groupe de travail s’est organisé. Son but : répondre de manière harmonisée aux nombreuses plaintes.

Le CEPD et l’autorité de protection autrichienne (APD) s’étaient déjà prononcés. La Cnil analyse à son tour les conditions de transfert des données collectées grâce à Google Analytics (GA) (1).

Eléments pertinents relatifs à la solution utilisée

A la lecture de la mise en demeure, il apparaît que les principaux éléments suivants ont été retenus par la Cnil :

Utilisation d’un identifiant unique GA de l’utilisateur qui le fait apparaître comme distincts des autres utilisateurs même lors de sessions différentes ;
Absence de preuve d’anonymisation ;
Combinaison possible avec les données d’un compte google si l’utilisateur est connecté à son compte. Les données sont alors directement reliables à des données identifiantes ;
Combinaison possible avec les données de l’espace utilisateur pour ceux qui se sont authentifié ou ceux qui ont fait une commande. Les données sont directement reliables à des données identifiantes ;
La fonction d’anonymisation de l’adresse IP est en option et ne s’applique pas à tous les transferts.
Il n’est pas démontré que l’anonymisation ait lieu avant le transfert aux États-Unis.

Données communiquées lors de l’utilisation de Google Analytics

Concernant les données communiquées, la Cnil vise les données suivantes :

la requête http contient les détails sur le navigateur et le terminal qui fait la requête, tels que le nom de domaine et des informations relatives au navigateur telles que son type, son référent (« referer ») et sa langue ;
un identifiant du visiteur (identifiant du cookie visiteur Google Analytics, c’est-à-dire
le « client ID » Google Analytics) ;
pour les visiteurs s’étant authentifiés sur le site web à travers un compte utilisateur, un identifiant interne […] ;
les identifiants de commande, le cas échéant ;
les adresses IP.

La caractérisation des flux vers les Etats Unis

La Cnil retient que le contractant du responsable de traitement est l’entité américaine Google LLC. En outre, les informations collectées sont transmises aux serveurs de Google Analytics. Enfin, ces données collectées sont hébergées aux États-Unis.

L’absence de nécessité d’analyser le droit américain

La Cnil rappelle qu’il n’est pas nécessaire de procéder à une analyse du droit américain. La jurisprudence européenne a déjà mené une telle analyse dans la décision Schrems II. Les lois de surveillance américaines ne répondent pas aux exigences du droit de l’Union européenne.

En conséquence, elle examine chacune des mesures supplémentaires invoquées par le responsable de traitement et Google. Sont-elles suffisantes pour permettre d’encadrer les flux par les clauses contractuelles types signées ?

Des mesures organisationnelles inefficaces

Au titre des mesures organisationnelles, elle précise que Google s’est engagée à procéder à la :

notification des utilisateurs (si celle-ci est possible),
publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales (« policy on handling government requests »).

Pour la Cnil, ces mesures organisationnelles sont inefficaces. Elles ne permettent pas concrètement d’empêcher ou de réduire l’accès des services de renseignements américains aux données étant indiqué que même les demandes licites des services de renseignements américains ne sont pas conformes au RGPD.

Des mesures techniques inefficaces

Au titre des mesures techniques, la Cnil relève :

« qu’il n’a pas été clarifié, ni par Google LLC, ni par la société comment les mesures décrites – telles que la protection des communications entre les services de Google, la protection des données en transit entre des centres de données, la protection des communications entre les utilisateurs et les sites web ou la sécurité sur site – permettent de prévenir ou de réduire les possibilités d’accès des services de renseignement américains sur la base du cadre légal américain ».

Par ailleurs, concernant le chiffrement des données entreposées dans des centres de données, la Cnil relève que :

« Google LLC, en tant qu’importateur de données a dans tous les cas l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles (voir recommandations 01/2020, point 81) ».

En d’autres termes, tant que Google LLC a la possibilité d’accéder aux données en texte clair, de telles mesures techniques sont inefficaces.

Finalement, la Cnil considère que les mesures supplémentaires adoptées sont inefficaces :

« dans la mesure où aucune d’entre elles ne résout les problèmes spécifiques au cas d’espèce. En effet, aucune d’entre elles n’empêche les services de renseignement américains d’accéder aux données en cause ou ne rendent cet accès ineffectif ».

Le refus d’admettre une exception à l’interdiction des flux hors Union européenne

Le responsable de traitement a tenté de justifier les flux sur deux des dérogations prévues par l’article 49 du RGPD, à savoir :

la personne concernée a donné son consentement explicite au transfert envisagé
le transfert est nécessaire à l’exécution d’un contrat

Sur la première dérogation, la société n’établit pas qu’un tel « consentement a été recueilli, ne met en avant aucune information relative à ces éléments qui serait transmise aux visiteurs du site web ».

La deuxième dérogation invoquée a aussi été refusée par la Cnil. En effet, elle considère que l’argument n’est étayé « d’aucun élément précis et, surtout, la société n’établit pas qu’il existe un rapport contractuel entre elle et l’ensemble des utilisateurs de son site internet ».

Par conséquent, les transferts vers les États-Unis des données collectées via l’utilisation de Google Analytics ne sont pas encadrés conformément au RGPD.

Ne manquez pas notre prochaine Conférence Lexing du 9 mars pour échanger sur ces questions.
Inscription en ligne (évènement gratuit).

Céline Avignon
Lexing – Département publicité et marketing électronique

Notes :

(1) Cf. notre post du 11 février 2022, La Cnil se prononce sur l’utilisation de Google Analytics.

Cookie	Durée	Description
cookielawinfo-checkbox-functional	12 mois	Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.
viewed_cookie_policy	12 mois	Enregistrement de l’ouverture de la politique cookies.