Peut-on toujours utiliser Google Analytics ? Point sur la prise de position de la CNIL du 10 février 2022
Dans un communiqué publié le 11 février 2022, la CNIL considère que l’utilisation de Google Analytics viole le RGPD, dès lors que les données personnelles transférées aux Etats-Unis sont susceptibles d’être captées par les renseignements américains. En conséquence, la CNIL a mis en demeure un gestionnaire de site internet de ne plus utiliser les services Google Analytics.
Tout d’abord, rappelons que l’autorité Autrichienne de protection des données avait déjà considéré, dans une décision du 12 janvier 2022, que les transferts de données opérés par les services Google Analytics d’un site européen vers les Etats-Unis n’étaient pas conformes au RGPD.
Ce n’est donc pas une surprise si la Commission Nationale de l’Informatique et des Libertés (CNIL) emboite le pas quelques semaines plus tard en France.
Rappelons également que M. Schrems est à l’origine de ces prises de position avec 101 plaintes déposées auprès de 30 autorités européennes de protection des données. L’activiste s’était déjà illustré en obtenant notamment l’invalidation des décisions d’adéquation « Safe Harbor » (en 2015) et « Privacy Shield » (en 2020) qui encadraient jusqu’alors les transferts de données personnelles vers les Etats-Unis.
En réaction, les entreprises technologiques américaines s’étaient rabattues sur les clauses contractuelles types de la Commission Européenne comme solution de substitution pour l’encadrement des importations de données personnelles provenant de l’Union Européenne.
Cependant, ces clauses ne peuvent être utilisées que si elles permettent d’obtenir des garanties appropriées de préservation de la vie privée des personnes, eu égard aux circonstances.
La CNIL, à l’instar de l’autorité Autrichienne, a considéré que les garanties apportées par les clauses contractuelles types – dans le cadre des services Google Analytics – sont insuffisantes pour exclure toute possibilité d’accès aux données par les renseignements américains. En conséquence, la CNIL a mis en demeure des gestionnaires de sites internet de ne plus utiliser Google Analytics.
Les conséquences de cette prise de position commune pourraient être bien plus larges.
En effet, la législation américaine (50 US Code §1881(a)) impose aux fournisseurs de services de communications électroniques[1] de fournir des données personnelles aux renseignements américains, y compris les éventuelles clés cryptographiques.
Tous les transferts de données personnelles opérés par des fournisseurs de services de communication électroniques vers les Etats-Unis pourraient potentiellement être remis en cause, notamment d’autres services de cookies largement utilisés comme Facebook Pixel, Shopify, etc…
De nombreuses questions demeurent…
Néanmoins, et concrètement, comment faire – si j’utilise Google Analytics – pour mesurer l’audience de mon site internet, tout en respectant les dispositions du RGPD ?
Au regard des motifs détaillés par l’autorité autrichienne dans sa décision du 12 janvier 2022, il apparait peu probable que le déploiement rapide de mesures techniques légères par Google permettent de garantir la conformité du service Analytics au RGPD.
Par conséquent, et dans l’attente de nouvelles décisions au niveau Européen, ou d’une réaction technique de Google, la substitution de Google Analytics par un service concurrent conforme (ou une solution interne) est recommendable.
Il existe de nombreuses solutions alternatives aux services Google Analytics qui sont hébergées dans l’Union Européenne. La CNIL liste une quinzaine de services qui proposent des solutions plus respectueuses de la vie privée des utilisateurs, dont la plupart sinon l’intégralité sont hébergées dans l’Union Européenne. Ces cookies présentent également l’avantage d’être exemptés de consentement, contrairement aux services Google Analytics.
[1] La notion de fournisseur de services de communication électronique renvoie à la définition (i) d’opérateur de télécommunication (47 U.S. Code § 153), (ii) d’un service de transfert d’image, sons, textes, signaux, données par voie électronique (18 U.S. Code § 2510) ; (iii) un hébergeur (18 U.S. Code § 2711) ou encore toute autre fournisseur de service ayant accès à des communications électroniques.