Mesure d’audience via AT Internet : toujours recommandé en 2022 ?

L’utilisation de Google Analytics ayant presque été interdite par la CNIL le 10 février, de nombreux acteurs envisagent de se tourner vers le système de mesure d’audience nommé « Analytics Suite Delta » proposé par la française société AT Internet. En effet, cet outil fait partie des quelques élus dont l’utilisation a été recommandée par la CNIL : elle apparaît d’ailleurs en tête de liste. Cette recommandation, dont la solution se prévaut volontiers sur son site internet, va-t-elle cependant perdurer en 2022 ? Rien n’est moins sur.

Effectivement, suite à un rachat intervenu en mars 2021, le propriétaire d’AT Internet se trouve désormais de l’autre côté de l’océan Atlantique. L’heureux acquéreur est la plateforme américaine Piano, éditrice d’une plateforme SaaS d’analyse des comportements d’utilisateurs internet afin d’accélérer le développement d’entreprises et d’optimiser leurs revenus. A cette occasion, en janvier 2022, la solution d’AT Internet a d’ailleurs fait l’objet d’une mise à jour majeure, et a été renommée « Piano Analytics ». Des questions tout à fait légitimes émergent : les modifications réalisées à l’occasion de la publication de Piano Analytics incluent-elles l’ajout d’un transfert de données sur les serveurs de la société mère, aux Etats-Unis ? Même si tel n’est pas le cas, le FISA ou encore l’Executive Order 12333 permettent-ils aux autorités américaines d’avoir accès aux données contenues dans les serveurs d’AT Internet ?

L’absence de communication claire sur les conséquences du rachat pour les données


Sur son site, Piano indique que « Piano Software, Inc. et toutes ses filiales ont conclu un accord de confidentialité intra-groupe, conformément à l’article 28 du RGPD, qui inclut également des clauses contractuelles types (CCT, ou SCC en anglais) ». En revanche, AT Internet affirme toujours que « toutes les données d’audience sont stockées et traitées en Union Européenne« . Ce principe a été réaffirmé dans la FAQ publiée à l’occasion de la fusion.
La combinaison des communiqués des deux acteurs ne permet néanmoins pas d’avoir une réponse très claire sur la présence ou non d’échanges de données à caractère personnel « clients » entre les bureaux historiques d’AT Internet à Mérignac, et les bureaux de Piano aux Etats-Unis. Il est également regrettable que la société n’ait pas réalisé de communiqué à l’attention de tous ses clients pour annoncer ce rachat, qui est pourtant lourd de conséquences : les récentes décisions de la CNIL les soulignent particulièrement.

Par ailleurs, l’absence d’information aisément accessible concernant l’identité de l’hébergeur des données est un très mauvais présage. Héberger les données au sein de l’Union Européenne est très bien, mais encore faut-il qu’elles ne se trouvent pas sur les serveurs de Microsoft Azure ou Amazon Web Services, auquel cas les autorités nord-américaines pourraient demander les données auprès du prestataire d’hébergement.

L’impact de la décision de la décision de la cnil concernant les sociétés américaines


Le 10 février 2022, la CNIL a publié un article dans lequel elle annonce l’interdiction presque pure et simple de l’utilisation de Google Analytics, au motif que même si « Google a adopté des mesures supplémentaires pour encadrer les transferts de données » , ce n’est toujours pas suffisant pour garantir la conformité au RGPD des potentiels de données vers les Etats-Unis dans la mesure où elles ne permettent pas d’ « exclure la possibilité d’accès des services de renseignements américains aux données ». La CNIL a, dans son article, précisé que « l’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement« .

Autrement dit, pour le moment, il faut éviter de recourir aux services des sociétés de nationalité américaine implantées en France, puisque les renseignements américains peuvent exiger l’accès aux données, ce qui constitue un transfert de données vers les Etats-Unis (très souvent, à l’insu de l’utilisateur final du logiciel). En effet, les lois en matière de renseignements états-uniennes ont été considérées par la Cour de Justice de l’Union Européenne dans l’arrêt Schrems II (C-311/18) comme « ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité ». La Cour de Justice a également pointé l’absence de voies de recours qui étaient ouvertes aux résidents de l’Union Européenne. Par ailleurs, les nord-américains eux mêmes semblent disposer de voies de recours limitées : les sénateurs Ron Wyden et Martin Heinrich ont en effet récemment dévoilé que des documents déclassifiés montrent que la CIA réalise secrètement une surveillance massive des citoyens américains en l’absence (ou presque) de tout garde-fou. Il est donc en conséquence assez peu probables que les européens parviennent à obtenir de plus amples garanties à court terme.

Cette législation américaine s’applique désormais également à AT Internet, dans la mesure où cette structure est désormais possédée à 100% par Piano, qui est une société américaine. Il n’est donc pas invraisemblable que les services de renseignements américains s’adressent à Piano afin d’obtenir les données personnelles récoltées par le biais d’AT Internet, tout comme ils peuvent s’adresser à Google pour récupérer des données stockées sur ses serveurs européens.

Les données des clients d’AT Internet hébergées par … Amazon Web Services


Enfin, sur l’une des pages de son site, la société AT Internet indique que les données clients qu’elle traite à des fins « marketing et de prospection commerciale » sont susceptibles d’être hébergées par Amazon Web Services. La société est par ailleurs susceptible de faire appel à des services proposés par Google Ads ou Facebook lorsque vous utilisez ses services.
Ces nouveaux éléments confirment nos craintes : il existe bel et bien des transferts de données potentiellement identifiantes vers des Etats-Unis dans la mesure où les autorités américaines peuvent parfaitement exiger l’accès aux serveurs d’Amazon ou de Google, même si ceux-ci se trouvent dans l’Union Européenne.

Les données concernées sont les données des éditeurs de site web utilisant AT Internet, et non les données analytiques recueillis par ces éditeurs, mais il n’y a désormais plus qu’un (petit) pas : la société ne semble clairement pas se diriger vers la bonne direction. Dès lors, nous ne pouvons que vous inviter à ne pas utiliser Piano Analytics, leur outil de mesure d’audience. Nous espérons par ailleurs que la CNIL cessera à l’avenir de recommander AT Internet malgré les efforts que la société peut mettre en œuvre pour que ses clients puissent bénéficier de l’exemption : ce n’est plus un exemple à suivre.

Pour approfondir…

> La CNIL a interdit l’utilisation de Google Analytics, mais pas que…
10 février 2022
Retour haut de page