C’est une mise en demeure qui risque de bousculer pas mal de monde des deux côtés de l’Atlantique, et notamment dans le milieu de la mesure d’audience. Dans un communiqué diffusé le 10 février 2022, la Commission nationale de l’informatique et des libertés (Cnil), l’autorité française chargée de veiller au bon usage des données personnelles, estime que les transferts de données de Google Analytics par les sites européens vers les États-Unis sont illégaux.
En cause : le non-respect du Règlement général sur la protection personnelles (RGPD), qui est le texte de loi de référence de l’Union européenne en matière de protection des données personnelles, et le risque d’espionnage par les services de renseignement américains.
Cette décision de la Cnil fait suite à des plaintes de l’organisation à but non lucratif My Privacy is None of Your Business (NOYB), une structure européenne qui vise à défendre la protection des données personnelles. Dans ce cadre, un recours visait visiblement un site français, utilisateur de Google Analytics.
C’est quoi Google Analytics ?
Google Analytics est une fonctionnalité de mesure d’audience développée par le géant américain Google. Dire que cet outil est très largement utilisé sur le net est un euphémisme. Cette solution très prisée par les sites permet à leurs propriétaires de suivre la fréquentation de leurs espaces à travers de nombreux paramètres et vues, comme l’origine géographique ou la visite en temps réel.
Il existe certes des alternatives à Google Analytics, mais dont l’usage reste encore très confidentiel, en partie parce qu’ils ne sont pas jugés aussi performants que ce que propose Google. Le service se retrouve dans toutes sortes de sites, des médias aux plateformes commerciales, en passant par des sites institutionnels, personnels, bancaires ou de divertissement.
Pour ses mesures, Google attribue un identifiant à chaque internaute, afin d’affiner ses statistiques et fournir des services très avancés aux clients d’Analytics. Or, ledit identifiant n’est pas une donnée lambda : elle est une donnée personnelle, prévient la Cnil, et doit bénéficier d’une protection adaptée. Le problème, poursuit l’autorité, c’est que ces éléments transitent par les États-Unis.
Pourquoi cette mise en demeure ?
C’est donc cet export de données par l’outil vers le pays de l’oncle Sam qui dérange la Cnil. Le gendarme du numérique, en coopération avec ses homologues européens, « a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. »
Les conclusions ne sont pas positives. La Cnil tire ses observations de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne du 16 juillet 2020, qui invalide le Privacy Shield, l’équivalent du RGPD aux États-Unis. Cette décision a sabré un accord de 2016 entre Bruxelles et Washington sur le transfert de données personnelles entre les deux rives de l’Atlantique.
La raison invoquée sans détour est le manque d’encadrement des programmes de surveillance américains, qui pourraient donc cibler des données d’Européens. Dans son communiqué, la Cnil mentionne d’ailleurs explicitement « le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis ».
Quel est le problème avec Google Analytics ?
L’arrêt de la Cour de Justice de l’UE de 2020 n’a pas stoppé tous les échanges de données entre le vieux continent et les États-Unis. Mais, comme l’explique la Cnil, les garanties américaines ne sont pas jugées suffisantes par défaut et doivent être accompagnées de « garanties appropriées » pour qu’un transfert de données soit réalisé.
Des garanties que la Cnil trouve insuffisantes dans le cas de Google Analytics, malgré des mesures supplémentaires prises par l’entreprise : « celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées. » Le gendarme du numérique renvoie aux articles du RGPD qui encadre ces transferts de données.
Les reproches de la Cnil ne sont pas isolés en Europe. Ailleurs sur le continent, des autorités étrangères ont aussi considéré que l’emploi de Google Analytics n’est pas conforme au RGPD — c’est le cas de l’Autriche et des Pays-Bas. La France, avec le verdict de la Cnil, qui n’a toutefois pas encore rendu publique sa délibération, prend un chemin similaire.
Et maintenant ?
Cette décision est une mise en demeure des propriétaires de sites, mais en réalité, c’est le géant américain qui est dans le viseur. Si l’on suit les demandes faites au gestionnaire du site pris pour cible, et qui dispose d’un délai d’un mois pour les réaliser, les gérants devront cesser d’avoir recours à Google Analytics, et se reporter sur un outil similaire qui n’entraine pas de transfert hors UE.
Google a face à lui la possibilité de ne rien faire ou de procéder à des modifications qui satisferont les exigences européennes en termes de protection des données personnelles. À terme, il va aussi se poser la question de tous les sites web dans l’Union européenne qui utilisent Analytics et qui pourraient faire l’objet de plaintes dédiées.
C’est déjà le cas dans le secteur de la santé. Le collectif InterHop, qui a précédemment manifesté son opposition au stockage des données de santé des Européens par une entreprise américaine (affaire Health Data Hub), suit également de près ce dossier. L’association a déjà saisi la Cnil en janvier 2021 sur l’usage de Google Analytics par des sites de santé.
« Pour les gestionnaires de sites traitant des données personnelles en contexte de santé il en va de leurs responsabilités réglementaire et surtout éthique. Les données de santé sont sensibles par nature, nous devons garantir la confiance des patient.e.s. », réagit InterHop. D’autres recours pourraient ainsi avoir lieu prochainement, pour essayer de pousser à l’abandon de Google Analytics.
La décision rendue par la Cnil illustre un peu plus le bras de fer de entre les géants du net (les « GAFAM ») et les autorités européennes, dont les exigences en matière de données personnelles se sont durcies. Récemment, cela a donné lieu à une séquence étrange dans laquelle Meta (ex-Facebook) a semblé dire qu’il pourrait quitter l’Europe à cause de ces lois trop contraignantes, avant de nier ces intentions dans un communiqué.
Mise à jour 16h : ajout des déclarations de InterHop
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
