Ce jeudi 10 février 2021, après de nombreux remous au niveau européen développés dans un de nos précédents articles, la CNIL a pris position concernant l’utilisation de Google Analytics par des éditeurs de sites web européens : les transferts hors Union Européenne qui sont opérés par le biais de cet outil ont été jugés illicites. Selon la CNIL, même si « Google a adopté des mesures supplémentaires pour encadrer les transferts » , ce n’est pas suffisant. « En l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues« . Ainsi, le Privacy Shield n’ayant pas été remplacé depuis son invalidation en juillet 2020, la CNIL interdit pour le moment presque purement et simplement l’utilisation de Google Analytics. Il revient à Google de prévoir des garanties pour sécuriser le transfert, en particulier pour « exclure la possibilité d’accès des services de renseignement américains aux données » (quitte à s’attirer les foudres des services de renseignement visés).
Cette décision est une nouvelle victoire pour l’association NOYB, à l’origine de 101 plaintes dans tous les États Membres sur cette problématique. Elle confirme également l’effet domino qui a été lancé par la décision prise il y a quelques semaines par l’autorité de protection des données autrichienne.
La CNIL a interdit l’utilisation de Google Analytics, mais pas que …
Une décision élargie à tous les outils réalisant des transferts vers les États-unis
Aujourd’hui, la CNIL ne s’est pas contentée d’interdire l’utilisation de Google Analytics (en l’état du service proposé). Dans le dernier paragraphe de son article, elle indique que « l’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement« . Autrement dit, dans l’attente de ces « mesures correctrices », il faut considérer que tous les outils édités par les GAFAM (pour ne citer qu’eux) qui engendrent des transferts de données vers les États-Unis : cela vaut pour Google Analytics, qui est visé de manière exprès par la CNIL, mais également pour Google Fonts, que nous avons évoqué dans un article publié hier. De manière plus générale, cette décision est susceptible de concerner toutes les entreprises dont le siège social se situe aux États-Unis et qui se sont implantées dans l’Union Européenne.
Politiquement, cette décision est très lourde de sens, et semble montrer un véritable rejet des outils américains au profit d’outils européens : il est difficilement envisageable que les GAFAM mettent en œuvre des mesures pouvant réellement prévenir les services de renseignement états-uniens d’accéder au données sans représailles de leur gouvernement. Il reste à voir comment les États-Unis vont réagir face à ces mesures que certains pourraient qualifier de protectionnistes (qui ne sont, en plus pas un fait isolé : la DINUM a, par exemple, récemment interdit aux administrations françaises d’utiliser Office 365). Le gouvernement va-t-il prévoir des dispositifs moins larges et offrir de réelles voies de recours aux citoyens européens ?
C’est… peu probable. La solution des autorités de protection des données européennes prend tout son sens lorsqu’elle est éclairée par le communiqué de presse des sénateurs Ron Wyden et Martin Heinrich, qui ont dévoilé que des documents déclassifiés montrent que la CIA réalise secrètement une surveillance massive des citoyens américains en l’absence (ou presque) de tout garde-fou.
La position de la CNIL est très claire concernant les outils édités par les GAFAM, et est une véritable aubaine pour les créateurs d’outils français et européens, qui vont pour le moment pouvoir se développer plus facilement sur le territoire de l’Union Européenne. Elle ouvre cependant une question importante, relative à l’utilisation d’hébergeurs nord-américains, qui sont également soumis aux lois de renseignement des États-Unis même si leurs serveurs se trouvent en Europe. Le résultat de l’analyse pourrait être un peu différent dans la mesure où, cette fois, les éditeurs de sites internet ont une certaine maîtrise des données. En principe, il est possible d’utiliser leurs services dès lors que des garanties suffisantes et appropriées sont mises en œuvre. Néanmoins, qu’est-ce que cela signifie en pratique ?
Quelles garanties sOnt suffisantes pour transférer des données personnelles vers les États-Unis ?
Sur son site, la CNIL a dédié un dossier documentaire au transfert de données hors Union Européenne. Plusieurs types de garanties sont possibles, parmi lesquelles se trouvent les BCR (Binding Corporate Rules) ou encore les clauses contractuelles types (CCT). Néanmoins, toutes les solutions proposées sont à appliquer de manière casuistique, c’est-à-dire à adapter aux situations qui se présentent au responsable de traitement : cela complique substantiellement la mise en conformité des transferts.
Il est notable que les transferts de données vers les États-Unis sont rendus particulièrement difficiles, ce qui n’incite pas les responsables de traitement à utiliser cette solution. En effet, dans un article du dossier visé, la CNIL explique que « concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement (en particulier la section 702 du FISA et l’Executive Order 12333) ne permet pas d’assurer un niveau de protection essentiellement équivalent.
La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent ».
Autrement dit, selon la CNIL, et compte-tenu des éléments évoqués un peu plus haut dans cet article, pour qu’un transfert de données vers les États-Unis soit licite, il faut que les services de renseignement américains ne puissent pas accéder aux données de résidents de l’Union Européenne : la Cour de Justice de l’Union Européenne, dans le célèbre arrêt Schrems II (C-311/18), a effectivement estimé que ces lois en matière de renseignement « ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité » . Sans aller aussi loin, l’absence de voies de recours effectives est regrettable, et a également été soulignée par la CJUE : il serait cependant étonnant que les européens obtiennent des garanties alors que les citoyens américains eux-mêmes n’y parviennent pas.
En pratique, il semble que le chiffrement des données soit l’une des rares solutions satisfaisantes, à condition que l’algorithme soit suffisamment robuste et que la clef de déchiffrement ne soit pas stockée sur le même serveur que les données chiffrées. Dans cette situation, il serait très difficile pour les autorités américaines de décrypter les données concernées.
Cette solution n’est néanmoins pas applicable aux outils proposés par les géants américains, tels que Google Analytics ou encore Google Fonts, puisque l’utilisateur n’a aucune maîtrise sur les données transférées.
A défaut de solution satisfaisante, existe-t-il des alternatives ?
Dans de nombreux cas, il n’existera pas de solution réellement satisfaisante permettant le transfert de données à caractère personnel vers les États-Unis de manière suffisamment sécurisée. Dans ce cas, la meilleure solution est de ne pas transférer de données personnelles vers les États-Unis, ce qui implique de ne pas utiliser d’outils collectant et transférant des données à votre insu et à l’insu de vos utilisateurs. Si votre système d’informations comprend des données à caractère personnel, il est préférable de se tourner vers des solutions européennes, par exemple OVH, Scalingo, ou encore CleverCloud pour l’hébergement, ou bien Matomo s’agissant de la mesure d’audience.