L’impact de la décision de la décision de la cnil concernant les sociétés américaines
Le 10 février 2022, la CNIL a publié un article dans lequel elle annonce l’interdiction presque pure et simple de l’utilisation de Google Analytics, au motif que même si « Google a adopté des mesures supplémentaires pour encadrer les transferts de données » , ce n’est toujours pas suffisant pour garantir la conformité au RGPD des potentiels de données vers les Etats-Unis dans la mesure où elles ne permettent pas d’ « exclure la possibilité d’accès des services de renseignements américains aux données ». La CNIL a, dans son article, précisé que « l’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement« .
Autrement dit, pour le moment, il faut éviter de recourir aux services des sociétés de nationalité américaine implantées en France, puisque les renseignements américains peuvent exiger l’accès aux données, ce qui constitue un transfert de données vers les Etats-Unis (très souvent, à l’insu de l’utilisateur final du logiciel). En effet, les lois en matière de renseignements états-uniennes ont été considérées par la Cour de Justice de l’Union Européenne dans l’arrêt Schrems II (C-311/18) comme « ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité ». La Cour de Justice a également pointé l’absence de voies de recours qui étaient ouvertes aux résidents de l’Union Européenne. Par ailleurs, les nord-américains eux mêmes semblent disposer de voies de recours limitées : les sénateurs Ron Wyden et Martin Heinrich ont en effet récemment dévoilé que des documents déclassifiés montrent que la CIA réalise secrètement une surveillance massive des citoyens américains en l’absence (ou presque) de tout garde-fou. Il est donc en conséquence assez peu probables que les européens parviennent à obtenir de plus amples garanties à court terme.
Cette législation américaine s’applique désormais également à AT Internet, dans la mesure où cette structure est désormais possédée à 100% par Piano, qui est une société américaine. Il n’est donc pas invraisemblable que les services de renseignements américains s’adressent à Piano afin d’obtenir les données personnelles récoltées par le biais d’AT Internet, tout comme ils peuvent s’adresser à Google pour récupérer des données stockées sur ses serveurs européens.
Les données des clients d’AT Internet hébergées par … Amazon Web Services
Enfin, sur l’une des pages de son site, la société AT Internet indique que les données clients qu’elle traite à des fins « marketing et de prospection commerciale » sont susceptibles d’être hébergées par Amazon Web Services. La société est par ailleurs susceptible de faire appel à des services proposés par Google Ads ou Facebook lorsque vous utilisez ses services.
Ces nouveaux éléments confirment nos craintes : il existe bel et bien des transferts de données potentiellement identifiantes vers des Etats-Unis dans la mesure où les autorités américaines peuvent parfaitement exiger l’accès aux serveurs d’Amazon ou de Google, même si ceux-ci se trouvent dans l’Union Européenne.
Les données concernées sont les données des éditeurs de site web utilisant AT Internet, et non les données analytiques recueillis par ces éditeurs, mais il n’y a désormais plus qu’un (petit) pas : la société ne semble clairement pas se diriger vers la bonne direction. Dès lors, nous ne pouvons que vous inviter à ne pas utiliser Piano Analytics, leur outil de mesure d’audience. Nous espérons par ailleurs que la CNIL cessera à l’avenir de recommander AT Internet malgré les efforts que la société peut mettre en œuvre pour que ses clients puissent bénéficier de l’exemption : ce n’est plus un exemple à suivre.