La Cnil se prononce sur l’utilisation de Google Analytics

Depuis les décisions de l’autorité autrichienne et du CEPD, à l’encontre du Parlement européen, considérant illicites les transferts de données opérés via la solution Google Analytics, la position de la Cnil était attendue.

Le contexte dans lequel ces décisions interviennent et de la création d’un groupe de travail au niveau européen, laissaient peu de doute quant à la position de la Cnil.

Le contexte de la position de la Cnil et les éléments de son analyse

L’association NYOB est à l’origine d’une centaine de plaintes déposées auprès de différentes autorités de protection des données (APD) concernant le transfert de données vers les États-Unis lors de l’utilisation de l’outil Google Analytics mis en œuvre par autant de responsables de traitement.

Un groupe de travail s’est organisé pour faire face à la similitude des plaintes déposées dans 27 Etats membres. Son but : répondre de manière harmonisée auxdites plaintes.

Le CEPD et l’autorité de protection autrichienne (APD) s’étaient déjà prononcés [1].

C’est dans ce contexte, que la Cnil a analysé les conditions de transfert aux États-Unis des données collectées grâce à l’utilisation de Google Analytics.

Elle conclu que les flux vers les États-Unis sont actuellement insuffisamment réglementés. Elle se fonde sur le fait qu’en l’absence de décision d’adéquation, ils ne peuvent avoir lieu que si des garanties appropriées sont prévues.

Si elle reconnaît que Google a adopté des mesures supplémentaires, pour réglementer les transferts de données dans le cadre de l’utilisation de Google Analytics, « celles-ci ne sont pas suffisantes pour exclure l’accessibilité de ces données aux services de renseignements américains » [2].

Violation des articles 44 et suivants du RGPD :

La Cnil constate que les données des internautes sont transférées en violation des articles 44 et suivants du RGPD et enjoint le responsable de traitement de se mettre en conformité dans un délai d’un mois.

Vers l’abandon de la solution Google Analytics ?

Cette injonction, même si les informations concernant l’affaire en cause sont partielles, semble bien aboutir à l’abandon de Google Analytics. D’ailleurs la Cnil précise dans son communiqué l’obligation de :

« se mettre en conformité, le cas échéant en cessant d’utiliser la fonctionnalité Google Analytics (dans les conditions actuelles) ».

Cette dernière précision entre parenthèses dans le communiqué de la Cnil soulève néanmoins une interrogation.

Cela fait-il référence uniquement aux conditions actuelles (en attente d’une nouvelle décision d’adéquation) ? ou cela renvoie-t-il au paramétrage, aux spécificités de la solution utilisée par le responsable de traitement dans l’affaire visée ?

Autrement dit, la position de la Cnil signifie-t-elle que, dans l’attente de la décision d’adéquation, aucune utilisation, quel que soit le paramétrage, ne sera conforme ou qu’il existe une possibilité d’une utilisation conforme de la solution, avec un paramétrage particulier par exemple ?

Cette question semble se poser puisque dans les décisions précitées, et notamment celle de l’APD autrichienne, on relève que :

« le fait que Google LLC ait soutenu que Google Analytics aurait été fourni par Google Ireland Ltd depuis avril 2021 n’a pas été considéré comme pertinent, car la violation s’est produite en août 2020 ».

Dans l’affaire sur laquelle la Cnil s’est prononcée :

• la violation était-elle antérieure à cette date ?
• Google Ireland ltd a-t-il fourni la solution ?
• l’anonymisation était-elle activée ?
• l’identifiant unique était-il présent ?

Ce début d’année 2022 est marqué par des décisions importantes en matière de cookies mais là où, jusqu’à présent, il s’agissait de vérifier le respect des dispositions relatives au recueil du consentement, aujourd’hui les autorités examinent la mise en œuvre des flux hors Union européenne via les cookies.

L’année 2022 marque-t-elle une nouvelle ère dans l’application de la décision Schrems II ?

La décision de l’autorité belge à l’encontre de l’IAB Europe (Interactive Advertising Bureau Europe) et le TCF (Transparency and Consent Framework) [3] s’inscrit pleinement dans ce mouvement. En effet, l’APD a considéré a également considéré « qu’il est évident que les données à caractère personnel incluses dans les TC Strings [Transparency and Consent String] seront transférées à un moment donné en dehors de l’EEE par les CMP [Consent Management Platforms], et que la défenderesse agit en tant que responsable du traitement à cet égard ».

Sur ce point, si l’APD belge ne retient pas de violation, elle met en cause le rôle des éditeurs. Elle juge que :

« ces transferts internationaux de données à caractère personnel, le cas échéant, doivent être évalués en premier lieu par les éditeurs et les CMP qui mettent en œuvre le TCF ».

La Chambre contentieuse constate que :

« les éditeurs sont responsables et redevables de prendre les mesures nécessaires pour éviter que les données à caractère personnel collectées par le biais de leur site web et/ou application ne soient transférées en dehors de l’EEE sans mécanismes de transfert international adéquats ».

Aussi, dans ce contexte, on ne peut que recommander aux responsables de traitement :

• de réexaminer leurs accords avec leurs partenaires sous-traitants responsables de traitement disjoints ou co-responsables
• d’établir une cartographie de ces derniers
• d’identifier si parmi eux, certains mettent en œuvre des flux dans le cadre de l’exploitation des cookies. Dans ce cas, il conviendra soit :
  • de mettre en place des mécanismes de transfert international adéquats si cela est possible 
  • d’envisager une solution alternative.

Céline Avignon
Lexing – Département publicité et marketing électronique

Notes :

[1] L’outil Google Analytics enfreint-il le RGPD ? Céline Avignon décrypte pour Solutions Numériques (17-01-2022) la décision récente de l’Autorité autrichienne.
[2] Use of Google Analytics and data transfers to the United States: the Cnil orders a website manager/operator to comply, 10-02-2022.
[3] APD Belge Décision n° 21-2022 du 02-02-2022 Responsabilité pour les transferts internationaux de données à caractère personnel.