03 66 72 26 33

Synthèse et analyse de la mise en demeure d’un gestionnaire de site web pour la mise en conformité de Google Analytics

La CNIL a mis en demeure un gestionnaire de site web de mettre en conformité les traitements résultant de l’utilisation par celui-ci de Google Analytics avec le RGPD au regard de l’existence de transferts hors de l’Union européenne insuffisamment encadrés en l’état, si besoin en cessant d’y avoir recours dans les conditions actuelles, ou en ayant recours à un outil n’entraînant pas de transfert de données hors de l’Union européenne.

Synthèse

Mise en demeure, sous un délai de 1 mois à compter de la notification de la décision au gestionnaire du site web, de :
  • Mettre en conformité le traitement relatif à la fonctionnalité Google Analytics avec les articles 44 et suivants du RGPD relatifs aux transferts de données hors de l’Union européenne, si nécessaire, en cessant de traiter des données à caractère personnel dans le cadre de la version actuelle de Google Analytics ;
  • Justifier auprès de la CNIL que la demande précitée a bien été respectée, et ce dans le délai imparti.

Analyse

Contexte

A la suite de l’arrêt Schrems II rendu par la Cour de Justice de l’Union européenne (CJUE) le 16 juin 2020, l’association NOYB créée par Maximilian SCHREMS a saisi la CNIL de plusieurs plaintes concernant l’existence de transfert de données à caractère personnel à destination des Etats-Unis lors de la visite de sites web utilisant Google Analytics.

L’association NOYB a lancé une campagne massive de 101 plaintes à ce sujet, distillées dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE).

Dès lors, les autorités de protection des données européennes, dont la CNIL, ont collaboré afin de déterminer si les conditions dans lesquelles les données collectées lors de l’utilisation de Google Analytics impliquaient le transfert de ces données vers les Etats-Unis, et le cas échéant, quels risques encouraient les personnes concernées du fait d’un tel transfert.

Constatations de la CNIL

Les opérations de traitement et la responsabilité du traitement

La CNIL relève tout d’abord le fonctionnement de Google Analytics pour le gestionnaire de site web en cause, étant principalement utilisé pour effectuer la mesure d’audience du site et des performances des campagnes médias, par l’inclusion d’un bloc de code JavaScript permettant d’exécuter l’opération de suivi d’un internaute au moyen d’un identifiant unique.

Ainsi, les gestionnaires de sites web intégrant Google Analytics peuvent transmettre des instructions à GOOGLE à propos des traitements de données réalisés avec cette fonctionnalité, au moyen de l’outil de gestion des balises (Google Tag Manager).

De façon complémentaire, Google Analytics peut également être utilisé afin de surveiller et entretenir la stabilité du site, ou afin d’évaluer et optimiser l’efficacité des campagnes publicitaires mises en œuvre au moyen d’autres outils fournis par GOOGLE.

Ainsi, l’utilisation de Google Analytics entraîne la collecte de :

  • La requête http de l’utilisateur ;
  • Les informations relatives à son navigateur ;
  • Les informations relatives à son système d’exploitation.

Ces données sont transmises aux serveurs de Google Analytics, et dès lors transférées aux Etats-Unis.

Concernant l’encadrement de ces transferts hors de l’Union européenne, des Clauses contractuelles types (CCT) figurent dans le contrat conclu entre le gestionnaire de site web et GOOGLE concernant Google Analytics, au sein de l’annexe dénommée « Google Ads Data Processing Terms ».

Par ailleurs, le gestionnaire de site web doit être considéré comme responsable de traitement au regard des traitements réalisés au moyen de Google Analytics, en ce qu’il décide de mettre en oeuvre cette fonctionnalité, aux fins et selon les moyens qu’il a déterminés lors de son intégration sur le site.

La nature des données

Concernant la nature des données, il revenait à la CNIL de déterminer si les données traitées au moyen de Google Analytics peuvent être qualifiées de données à caractère personnel ou non.

Il était donc nécessaire de savoir « dans quelle mesure la mise en œuvre de Google Analytics sur un site web permet au gestionnaire du site web [...] de rendre une personne concernée (un visiteur du site web en cause) identifiable ».

En l’occurrence, le gestionnaire de site web a indiqué à la CNIL que des données à caractère personnel sont traitées via Google Analytics, et notamment :

  • un identifiant du visiteur (identifiant du cookie visiteur Google Analytics, c’est-à-dire le « client ID » Google Analytics) ;
  • pour les visiteurs s’étant authentifiés au site web à travers un compte utilisateur, un identifiant interne [...] ;
  • les identifiants de commande, le cas échéant ;
  • les adresses IP.

Le gestionnaire de site web a également indiqué à la CNIL que les adresses IP étaient rendues anonymes, sans toutefois préciser le processus d’anonymisation mis en œuvre.

De plus, selon la CNIL :

  • Les identifiants attribués aux visiteurs sont des identifiants uniques ayant pour objet de les distinguer, et pouvant être combinés à d’autres informations (adresse du site, métadonnées, adresse IP…), ce qui les rend donc susceptibles de permettre l’identification des personnes concernées ;
  • Lors de l’utilisation d’un compte utilisateur ou lors de la réalisation d’une commande, ces identifiants sont directement reliables à des données identifiantes ;
  • Lors de l’utilisation de Google Analytics, en fonction du paramétrage du compte Google de l’utilisateur, Google peut être informé qu’un utilisateur connecté à son compte a visité un site spécifique, et ainsi, des données relatives à ce compte peuvent être collectées.

La CNIL déduit donc de ces éléments que les données traitées au moyen de Google Analytics doivent être considérées comme des données à caractère personnel.

Le manquement à l’obligation d’encadrer les transferts hors UE

Sur l’obligation d’encadrer les transferts hors de l’Union européenne, la CNIL souligne tout d’abord qu’en raison de l’invalidation de la décision d’adéquation de la protection assurée par le Privacy Shield par la CJUE le 16 juillet 2020, et en l’absence d’une décision d’adéquation rendue par la Commission européenne, les transferts de données vers les Etats-Unis réalisés lors de l’utilisation de Google Analytics ne peuvent pas être fondés sur une telle décision.

Sur les CCT encadrant en partie le transfert de données vers les Etats-Unis dans le cadre de l’utilisation de Google Analytics et figurant au sein du « Google Ads Data Processing Terms », la CNIL reconnaît tout d’abord que celles-ci sont conformes aux clauses contractuelles types publiées par la Commission européenne en 2010.

Toutefois, la CJUE avait constaté dans son arrêt du 16 juillet 2020 que les pouvoirs de surveillance des autorités gouvernementales américaines résultant des règlementations en vigueur aux Etats-Unis (FISA 702 et Executive Order 12333) ne correspondaient pas aux exigences minimales du droit de l’Union européenne quant au principe de proportionnalité, et ne permettaient pas de aux personnes concernées de disposer d’un droit au recours effectif, en l’absence de droits opposables aux autorités américaines devant les tribunaux.

Au surplus, la CNIL a noté que le rapport de transparence de Google indique que la société GOOGLE LLC (société de droit américain), est régulièrement destinataire de demandes d’accès à des données dont elle dispose, de la part des services de renseignements américains.

Il était donc nécessaire, pour procéder à un transfert de données vers les Etats-Unis, de mettre en oeuvre des garanties supplémentaires, en complément des CCT permettant de maintenir un niveau de protection des données similaire à celui découlant du droit de l’Union européenne.

En l’espèce, la CNIL a noté que GOOGLE LLC, en sa qualité de destinataire des données, avait adopté des mesures contractuelles, organisationnelles et techniques en complément des CCT, dont elle devait donc évaluer l’efficacité, c’est-à-dire leur capacité à empêcher ou restreindre l’accès des services de renseignements américains aux données.

Ainsi, la CNIL a considéré que :

  • Les mesures contractuelles et organisationnelles adoptées, telles que la notification des utilisateurs, la publication d’un rapport de transparence ou encore la politique de gestion des demandes d’accès gouvernementales, ne permettent pas d’empêcher ou de restreindre l’accès des services de renseignement américains.
  • Les mesures techniques évoquées par le gestionnaire du site web et GOOGLE, telles que la protection des communications entre les services de GOOGLE, la protection des données en transit entre des centres de données, la protection des communications entre les utilisateurs et les sites web, ou encore la sécurité du site, ne permettent pas de déduire qu’elles suffisent à empêcher ou restreindre l’accès des services de renseignement américains.

En particulier, la CNIL a estimé qu’en l’état actuel de la législation, les techniques de chiffrement des données mentionnées par GOOGLE concernant les données stockées dans des centres de données, ne sont pas suffisantes, car GOOGLE se trouve dans l’obligation de fournir les données importées en sa possession, y compris les clés de chiffrement.

En outre, la CNIL n’a pas été convaincue par la mesure technique optionnelle proposée par GOOGLE, consistant à permettre l’anonymisation de l’adresse IP, tout d’abord en raison de son caractère optionnel, puis du fait de l’absence d’information quant au moment auquel cette anonymisation a lieu, c’est-à-dire avant ou après le transfert vers les Etats-Unis.

En conclusion, la CNIL considère donc que les mesures supplémentaires adoptées et présentées par GOOGLE et le gestionnaire du site dans le cadre de la procédure ne sont pas efficaces afin d’empêcher ou de restreindre l’accès aux données par les services de renseignement américains.

Enfin, selon la CNIL, le gestionnaire de site ne pouvait pas non plus se fonder sur le consentement des personnes concernées, en l’absence d’information claire, précise et complète relative aux risques du transfert de données hors de l’Union européenne.

Conclusion et analyse de la décision

La CNIL en conclut donc qu’en l’état, les transferts vers les Etats-Unis réalisés lors de l’utilisation de Google Analytics par un gestionnaire de site web ne peuvent être fondés sur aucun des instruments garantissant un niveau de protection adéquat au sein du RGPD, et qu’ainsi, le gestionnaire de site web compromet le niveau de protection des données à caractère personnel des personnes concernées.

La décision de la CNIL s’inscrit dans un mouvement diffus des autorités de contrôle européennes, consistant à remettre en cause les transferts de données à caractère personnel vers les Etats-Unis résultant de l’utilisation d’outils provenant de sociétés américaines telles que GOOGLE.

En effet, l’autorité de contrôle autrichienne (Datenschütz Behörde ou DSB) a rendu une décision similaire à celle de la CNIL concernant l’utilisation de Google Analytics, le 22 décembre 2021, établissant ainsi la première décision découlant des 101 plaintes déposées par NOYB.

Le 5 janvier 2022, le Contrôleur européen de la protection des données a également sanctionné le Parlement européen, par un rappel à l’ordre et une injonction de mise en conformité, en raison de transferts de données vers les Etats-Unis qu’il a considéré illégaux en raison de l’utilisation de Google Analytics et du fournisseur de paiement STRIPE.

Enfin, des précédents similaires étaient déjà intervenus au sujet de la mise en conformité de transferts de données vers les Etats-Unis, pour d’autres outils ou fournisseurs de services.

Ainsi, le 27 avril 2021, l’autorité de protection des données du Portugal (Comissão Nacionãl de Proteção de Dados ou CNPD), a ordonné à l’Institut national des statistiques portugais (INE) la suspension dans un délai de 12 heures des transferts de données personnelles vers les Etats-Unis résultant de la sous-traitance à CLOUDFLARE INC. de l’exploitation d’un questionnaire de recensement.

De la même manière, le 1er décembre 2021, la Cour administrative de Wiesbaden en Allemagne a ordonné à l’Université des Sciences Appliquées du Rhin-Main de cesser d’utiliser le gestionnaire de consentement Cookiebot, en raison du transfert illégal de données à caractère personnel vers les Etats-Unis.

Les transferts de données hors de l’Union européenne vont probablement entraîner d’autres décisions similaires à celle de la CNIL dans un futur proche.

La CNIL a annoncé que le recours aux technologies cloud ferait partie de ses thématiques prioritaires de contrôle pour l’année 2022, notamment car « ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration ».

Décision CNIL - Google Analytics
Décision DSB - Google Analytics du 22 décembre 2021 (en allemand)
Décision du Contrôle européen de la protection des données (CEPD) du 5 janvier 2022 (en anglais)
Communiqué du Comité européen de la protection des données (CEPD) sur la décision CNPD - Cloudflare (en anglais)
Décision de la Cour administrative de Wiesbaden du 1er décembre 2021 - Cookiebot (en allemand)

Raphaël RAULT
Avocat associé

Raphaël EKWALLA-MATHIEU
Avocat collaborateur