En coopération avec ses homologues européens, la CNIL est intervenue aux fins d’analyser l’ensemble des conditions dans lesquelles les données des utilisateurs de sites web ont été transférées via la fonctionnalité Google Analytics vers les Etats-Unis. Ayant considéré que lesdits transferts sont illégaux, la CNIL a ordonné à un gestionnaire de site web français de se conformer aux dispositions du Règlement général sur la protection des données, voire le cas échéant de ne plus utiliser l’outil en cause dans les conditions actuelles. Pourquoi la CNIL a-t-elle décidé ainsi ?


Le RGPD : qu’est-ce que c’est ?

Le Règlement général sur la protection des données (RGPD) permet un encadrement strict des données personnelles sur le territoire de l’Union européenne. Ce règlement permet, à l’image de la loi française Informatique et Libertés de 1978, de renforcer le contrôle de la possible utilisation des données personnelles des citoyens. Finalement, comme l’explique la CNIL, ce règlement européen permet l’harmonisation des règles sur le continent européen en créant un cadre juridique unique aux professionnels, leur permettant de développer leurs activités numériques à l’intérieur de l’Union européenne en se fondant sur la confiance des utilisateurs européens.


Google Analytics : qu’est-ce que c’est ?

Google Analytics constitue une fonctionnalité pouvant être intégrée par des gestionnaires de sites web à l’image des sites de vente en ligne. Cette fonctionnalité permet en vérité de mesurer la fréquentation de ces sites par les internautes. Il s’agit en d’autres termes d’une fonctionnalité qui permet de mettre en évidence des statistiques de fréquentation pour un site web concerné. A cet égard, est instauré un identifiant unique pour chaque utilisateur du site web. Or cet identifiant revêt le caractère d’une donnée personnelle et les données qui y sont jointes sont par la suite transférées par Google en direction des Etats-Unis.


La saisine de la CNIL

L’association NOYB a saisi la CNIL de plusieurs plaintes eu égard au transfert de données personnelles d’utilisateurs collectées par des sites web utilisant Google Analytics en direction des Etats-Unis. La CNIL a fait savoir que 101 réclamations furent déposées par l’association dans les 27 Etats membres de l’Union européenne ainsi que dans les trois Etats de l’espace économique européen. Ces plaintes furent déposées contre 101 responsables de traitement qui ont procédé au transfert desdites données personnelles vers les Etats-Unis.


Des plaintes à l’échelle européenne

La CNIL est intervenue en soutien de ses homologues européens et a procédé à l’analyse des conditions inhérentes aux collectes de données concernées dans le cadre de l’utilisation de la fonctionnalité Google Analytics et qui étaient par la suite transférées vers les Etats-Unis ; de même, elle a procédé à l’analyse des risques engendrés pour les personnes intéressées.
La CNIL a également fait savoir que cela a pour objectif de tirer toutes les conséquences, de façon collective, de l’arrêt rendu par la Cour de justice de l’Union européenne, le 16 juillet 2020, Schrems II. Pour rappel, la Cour de justice avait décidé d’invalider le système du Privacy Shield. En quelques mots, cet arrêt avait trait à ce système qui permettait le transfert des données personnelles d’utilisateurs européens en direction des Etats-Unis ; les juges de la Cour de justice avaient également décidé d’obliger les responsables de traitement à reconsidérer ces transferts ainsi que leur encadrement. A cet égard, la Cour de justice de l’Union européenne avait alerté sur le fait que les services de renseignements américains pouvaient accéder à ces données personnelles exportées pour le cas où ces transferts n’étaient pas suffisamment encadrés.


La décision de la CNIL

La CNIL est intervenue et a considéré que, pour l’heure, ces transferts ne sont suffisamment encadrés. Elle a effectivement décidé qu’en absence de décision d’adéquation, à l’égard de ces transferts en direction des Etats-Unis, ces derniers ne peuvent avoir lieu que pour le cas où des garanties appropriées sont prévues. En d’autres termes, cette décision d’adéquation permettrait d’établir que les Etats-Unis permettent la mise en place d’un niveau de protection des données concernées suffisant par rapport au RGPD. Tel n’est pas le cas pour la CNIL. La Commission nationale ajoute que bien que Google ait décidé d’adopter de nouvelles mesures supplémentaires afin d’encadrer ces transferts par la fonctionnalité Google Analytics, ces mesures ne peuvent, en l’état et pour le moment, exclure que les services de renseignements américains y aient effectivement accès.
Par voie de conséquence, la CNIL a conclu qu’il existe un risque pour les utilisateurs du site web français qui utilise cette fonctionnalité et dont les données personnelles sont transférées outre-Atlantique.
Plus précisément, la CNIL a ajouté que ces données sont exportées en violation des articles 44 et suivants du RGPD, d’où la décision de la mise en demeure du gestionnaire du site de se mettre en conformité avec ces dispositions et, le cas échéant, de ne plus avoir recours à la fonctionnalité Google Analytics pour le moment et dans les conditions présentes, voire à recourir à un autre outil du même type que cette fonctionnalité mais qui ne permet pas de transfert des données personnelles en dehors du territoire européen. Un délai fixé à un mois est attribué au gestionnaire concerné afin de se mettre en conformité avec cette décision.


De plus, il convient de noter ici que de nouvelles procédures de mises en demeure du même type furent engagées par la Commission nationale de l’informatique et des libertés contre des gestionnaires de sites web utilisant cette fonctionnalité Google Analytics. En parallèle, l’enquête menée par la CNIL ainsi que par ses homologues européens intéresse en outre d’autres outils également utilisés par des sites web et qui permettent in fine des transferts de données personnelles d’internautes européens en direction des Etats-Unis.
Nul doute que de nouvelles mesures seront prises à leur égard dans les prochaines semaines ou les prochains mois afin de protéger les données des utilisateurs européens.


Références

https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
https://www.clubic.com/pro/entreprises/google/actualite-408714-google-analytics-est-il-illegal-au-regard-du-rgpd-tout-ce-qu-il-faut-savoir-de-la-decision-de-la-cnil.html
https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
https://www.village-justice.com/articles/arret-schrems-chute-privacy-shield-les-responsables-traitement-doivent-repenser,36284.html
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679