Les répercussions de la décision d’adéquation États-Unis/UE sur Google analytics

L’entrée en vigueur de la décision d’adéquation a mis fin à la période durant laquelle les entreprises ne pouvaient pas utiliser en toute conformité Google Analytics.

En effet, en raison notamment de l’invalidation de la précédente décision d’adéquation pour les Etats-Unis, la seule possibilité de recourir à cette solution était d’avoir recours à une solution de proxyfication pour supprimer le caractère personnel des données avant leur transfert vers les US.

Cette nouvelle décision d’adéquation^[1] est applicable immédiatement. Elle reconnaît que les États-Unis assurent un niveau de protection adéquat des données personnelles.

Cette décision a une particularité par rapport à d’autres décisions d’adéquation. Pour effectuer un transfert de données vers les États-Unis, sans utiliser une solution de transfert spécifique, l’organisme européen doit s’assurer que son partenaire américain s’est auto-certifié et s’engage à respecter le cadre légal du Data Privacy Framework (DPF).

Vérification de l’Auto-Certification

Vous pouvez vérifier l’auto-certification de votre partenaire/futur partenaire en consultant la liste mise à disposition par le gouvernement des États-Unis : https://www.dataprivacyframework.gov/s/participant-search.

Pour ce qui est de Google Analytics, voici les informations disponibles dans cette liste officielle :

En se basant sur ces informations, on peut conclure que Google LLC et ses entités associées se sont auto-certifiées au DPF. Par conséquent, les organismes européens peuvent leur transmettre des données personnelles. Il s’agit notamment les données des Ressources Humaines (HR) et des non Ressources Humaines (Non HR), telles que les données de clients et de prospects. Cette certification est valide jusqu’au 13 septembre 2024. La date de certification initiale est basée sur le Privacy Shield.

En effet, le nouveau cadre légal DPF prévoit que les entités qui s’étaient auto-certifiées privacy Shield bénéficiaient automatiquement d’une transformation automatique de leur certification au DPF sans que cela ne puisse allonger la date de leur certification initiale au-delà d’octobre 2023.

Recommandation pour le renouvellement de certification

Il est essentiel que les organismes qui envisagent de travailler avec des prestataires américains ou d’exporter des données vers les États-Unis vérifient annuellement que ces prestataires ont renouvelé leur certification. En ce qui concerne Google et ses entités, cette date est le 13 septembre 2024. Sous réserve de ces vérifications et des catégories de données (HR/Non HR), il n’est pas nécessaire de recourir :

• à des clauses contractuelles types
• ni à d’autres exceptions pour mettre en place des flux.

Cependant, un contrat conforme au RGPD devra être établi pour encadrer la sous-traitance. Toutes les obligations incombant à l’organisme européen devront être respectées. Il s’agit notamment de la collecte du consentement préalable pour l’utilisation des cookies Google Analytics.

Lorsque la décision d’adéquation est inopérante

Si un partenaire n’apparaît pas sur la liste du Data Privacy Framework, des clauses contractuelles types devront être utilisées. Cependant, il est important de réaliser une analyse préalable du droit américain pour :s’assurer que :

• le niveau de protection en Europe est respecté,
• les garanties des clauses contractuelles types soient efficaces.

Comme l’indique la Cnil dans sa FAQ sur les flux, le responsable de traitement peut, pour ce faire, « tenir compte de l’analyse de la législation états-unienne réalisée par la Commission européenne dans sa nouvelle décision d’adéquation. Il devra également tenir compte de toute évolution à venir, notamment à l’occasion des examens périodiques prévus dans la décision ».

La pérennité de la décision d’adéquation en question

Les pro du DPF viennent de remporter une victoire dans le cadre d’un recours intenté par le député Philippe Latombe. Il sollicitait en référé^[2] le sursis à l’exécution de la décision d’adéquation du 10 juillet. Il n’a pas été fait droit à ses demandes aux motifs que :

• « le requérant n’a pas établi qu’il subirait un préjudice grave s’il n’était pas sursis à l’exécution de la décision attaquée »
• « Dès lors que le requérant n’est pas en mesure d’établir que la condition relative à l’urgence est remplie, la demande en référé doit être rejetée, sans qu’il soit nécessaire
  • de se prononcer sur la recevabilité de la présente demande en référé,
  • d’examiner le fumus boni juris
  • ou de procéder à la mise en balance des intérêts. »

Sur le fond, il n’est pas certain, dans le cadre des recours formés à l’encontre de cette dernière et annoncés dès son entrée en vigueur, que la CJUE n’annule pas ladite décision.

La solution Google Analytics peut être utilisée à date conformément au RGPD. Il est toutefois possible que la décision d’adéquation soit annulée à moyen terme. Les entreprises doivent donc se préparer à cette éventualité et l’anticiper dans leur road map.

Céline Avignon et son équipe demeurent à votre disposition pour répondre à toutes vos questions.
Lexing – Département publicité et marketing électronique

______________________________

[1] Décision d’exécution (UE) 2023/1795 du 10 juillet 2023 sur le niveau de protection adéquat des données UE – États-Unis

[2] CJUE, Ordonnance de référé du Président du Tribunal, du 12 octobre 2023, affaire T-553/23.