La CNIL[1] a indiqué avoir mis en demeure un éditeur, le 10 février 2022, pour avoir collecté des données à caractère personnel sur les visiteurs de son site Internet à l’aide du module Google Analytics.

En intégrant ce module Google Analytics à son site Internet, l’éditeur donnait la consigne aux navigateurs de ses visiteurs d’envoyer des informations à Google. Ces informations contenaient notamment l’adresse de la page visitée, l’éventuelle page précédemment visitée (« Referer »), l’heure de la visite, l’adresse IP du visiteur et des informations sur son appareil. Ces informations pouvaient aussi contenir l’identifiant unique qui était attribué par Google à l’internaute et stocké dans un cookie et/ou l’identifiant interne que l’éditeur du site avait attribué à l’internaute, si ce dernier était connecté à son espace personnel. Le numéro de commande était aussi présent si la personne avait passé commande sur le site.

Toutes ces informations permettaient à l’éditeur de mesurer l’audience de son site Internet avec précision, mais aussi de détecter d’éventuelles erreurs et de mesurer ou d’optimiser l’efficacité de ses campagnes publicitaires.

En premier lieu, la CNIL a considéré que les données collectées par ce module Google Analytics étaient des données à caractère personnel, car elles étaient associées à un identifiant unique et/ou composées de données qui pouvaient permettre d’identifier les visiteurs ou de les différencier de façon significative. La Commission a donc estimé que les exigences du RGPD[2] devaient être respectées.

Ensuite, la CNIL a rappelé que les transferts de données personnelles vers un pays n’appartenant pas à l’Union européenne étaient autorisés uniquement si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis »[3]. Un tel niveau de protection peut être obtenu :

  • si le pays de destination bénéficie d’une « décision d’adéquation »[4], c’est-à-dire une décision émanant des autorités attestation de la conformité du pays en matière de protection des données ; ou
  • si l’organisme de destination justifie que les mesures prises et la législation du pays permettent d’assurer un niveau de protection suffisant.

Les données issues de Google Analytics étaient transférées vers les États-Unis. Ce pays ne bénéficie cependant plus d’une décision d’adéquation depuis l’arrêt[5] « Shrems II » du 16 juillet 2020 de la Cour de justice de l’Union européenne (CJUE) en raison de la surveillance de masse réalisée par les services gouvernementaux américains. Ces programmes de surveillance obligent notamment la société Google à fournir au gouvernement américain les données à caractère personnelle qu’elle possède ou les clés de chiffrement qu’elle utilise.

En l’absence d’une décision d’adéquation, l’éditeur du site et la société Google avaient recourru à des « clauses contractuelles types », c’est-à-dire un rapport détaillé justifiant un niveau de protection suffisant. La CNIL a cependant considéré, comme l’avait déjà fait la CJUE dans son arrêt cité précédemment, qu’un tel document ne permettait pas, à lui seul, d’apporter une protection contre les programmes de surveillance américain, car la société Google ne pouvait pas aller à l’encontre des lois de son pays. Des mesures additionnelles devaient donc être prises par l’éditeur et/ou Google.

Des mesures organisationnelles ont été prises par Google, comme la publication d’un rapport de transparence et la publication d’une politique de gestion des demandes d’accès gouvernementales, mais la Commission a estimé que ces mesures ne permettent pas « concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ».

Des mesures techniques ont aussi été prises par Google, comme la pseudo « anonymisation »[6] des adresses IPs, mais la CNIL a estimé qu’elles « ne sont pas efficaces », car « aucune d’entre elles n’empêche les services de renseignement américain d’accéder aux données en cause ne rendent cet accès ineffectif ».

En l’absence d’une protection des données adéquate, la CNIL a, par conséquent, estimé que les transferts effectués par l’éditeur vers les serveurs de Google situés aux États-Unis étaient illégaux.

La CNIL a demandé le site de mettre en conformité les traitements de données associés à Google Analytics ou, si ce n’est pas possible, de retirer ce module.

Lire :

Ma réaction à cette décision

Concernant le nom de l’éditeur mis en cause, la CNIL a décidé de ne pas rendre public son nom pour des raisons que j’ignore. Il est cependant probable que la ou les sociétés en cause soient Décathlon, Auchan et/ou Sephora étant donné que cette décision est la conséquence des plaintes[7] déposées par l’association militante NOYB[8] contre ces trois organismes.

Concernant la décision elle même, même si c’est la première fois que la CNIL prend publiquement position sur Google Analytics, ce n’est ni une surprise, ni une révolution. Depuis l’invalidation de l’accord avec les États-Unis en juillet 2020, tous les acteurs s’intéressant de près à la protection des données savent que les transferts de données vers les USA étaient, au mieux, très douteux. De plus, la CNIL n’est pas la première autorité de protection des données européenne à avoir statué dans ce sens. L’autorité autrichienne avait fait de même[9] trois mois plus tôt.

Cette décision a le mérite de mettre les choses au clair. Les organismes ne peuvent désormais plus prétendre un éventuel flou juridique. Google Analytics doit être retiré.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD autorise des transferts de données vers des pays tiers si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis » (source : RGPD, article 44).
  4. Un transfert de données à caractère vers un pays tiers peut être réalisé si une décision d’adéquation existe pour ce pays (source : RGPD, article 45). Une telle décision existe, par exemple, pour le Royaume-Uni.
  5. La Cour de justice de l’Union européenne (CJUE) invalide le « bouclier de protection des données UE-États-Unis » dans un arrêt du 16 juillet 2020 (source : CJUE, C-311/18, 16 juillet 2020, Shrems II).
  6. La solution Google Analytics propose une option permettant d’« anonymiser » les adresses IP des internautes. Cette opération est toutefois réalisée par Google après que le transfert de données vers les États-Unis ait lieu.
  7. L’association NOYB a déposé des plaintes contre de nombreux organismes suite à des transferts de données personnelles vers les États-Unis jugés illicites. Six entreprises francaises sont concernées. Trois d’entre elles concernent Google Analytics : Decathlon, Auchan et Sephora (source : noyb.eu).
  8. NOYB - European Center for Digital Rights : (noyb.eu).
  9. L’autorité autrichienne a décidé, en décembre 2021, que les transferts de données réalisés par Google Analytics étaient illicites (source : noyb.eu, en allemand) (source 2 : gdprhub.eu, en anglais).