Le 13 janvier 2022, l’autorité de protection des données (APD) autrichienne a estimé que l’utilisation du célèbre outil de mesure d’audience Google Analytics ne permet pas de respecter le RGPD. Selon l’autorité de protection des données autrichienne, l’utilisation de Google Analytics implique nécessairement un transfert de données vers l’éditeur de l’outil : Google, aux Etats-Unis. Il est considéré que la simple consultation de données hébergées sur le territoire européen par une personne se trouvant aux Etats-Unis constitue déjà un transfert. Au cours de la procédure menée par l’autorité autrichienne, Google a même admis que « toutes les données collectées par Analytics […] sont hébergées (c’est-à-dire stockées et traitées ultérieurement) aux États-Unis.«
Or, dans un célèbre arrêt Shrems II rendu en juillet 2020, la Cour de Justice de l’Union Européenne a invalidé le « Privacy Shield », la décision d’adéquation permettant de faciliter le transfert de données vers les Etats-Unis. La CJUE a en effet estimé que le droit nord-américain n’offrait plus de garanties équivalentes à celles du RGPD, notamment au regard des lois américaines relatives aux renseignement, permettant aux autorités d’éxiger l’accès à des données hébergées par les entreprises états-uniennes même si celles-ci se trouvent en dehors du territoire des Etats-Unis, par exemple en Europe. Ce n’est pas l’accès, en soi, qui fonde la décision de la CJUE, mais bien l’absence de garanties suffisantes pour les personnes concernées, comme le manque de voies de recours.
Pour autant, la CJUE n’a pas strictement interdit de transférer des données personnelles vers les Etats-Unis. Néanmoins, tout transfert requiert la mise en place de garanties appropriées visant à sécuriser les données personnelles : au regard de la décision autrichienne, ce n’est manifestement pas ce que Google a proposé a ses utilisateurs.
Puis-je utiliser Google Analytics sur mon site internet ?
Quelles sont les conséquences de la décision autrichienne ?
Il est probable que d’autres États suivent cette décision dans la mesure où les autorités européennes travaillent régulièrement de concert : ainsi, à défaut de réaction de la part du géant nord-américain, il n’est pas exclu que les autres autorités de protection des données suivent cette position. La CNIL a d’ailleurs d’ores et déjà été saisie du sujet par l’association Interhop dans le cadre plus restreint de l’utilisation de Google Analytics par des entreprises de e-santé.
Cela est d’autant plus probable que le Contrôleur européen de la protection des données (CEPD) lui même a critiqué l’utilisation de Google Analytics par le Parlement Européen, estimant que ce dernier n’a pas « fourni de documentation, de preuve, ou toute autre information à propos des mesures contractuelles, techniques ou organisationnelles mises en place afin d’assurer un niveau de protection des données personnelles transférées essentiellement équivalent » (CEPD, case 2020-1013).
Au Pays-Bas, l’autorité de protection des données a annoncé avoir reçu deux plaintes relatives à l’utilisation de Google Analytics. L’une d’elles provient sans doute de l’association NOYB dirigée par Max Schrems, qui a transmis 101 plaintes aux différentes autorités de protection des données des Etats-Membres. L’autorité néerlandaise a également annoncé que les suites de la procédure permettront de déterminer si l’outil sera autorisé aux Pays-Bas ou non.
En France, par un article du 27 mai 2021, la CNIL a invité les établissements de l’enseignement supérieur et de la recherche à ne plus recourir aux outils collaboratifs états-uniens (de type SharePoint), précisément parce qu’il pouvait y avoir des flux de données (parfois sensibles) vers les Etats-Unis qu’il n’est pas possible de contrôler. En l’absence de garanties suffisantes, ces flux ne sont pas conformes au RGPD.
Le gouvernement s’est également saisi de la question de l’utilisation d’outils états-uniens, en particulier la DINUM (Direction interministérielle du numérique) qui a, en septembre 2021, envoyé une note à tous les secrétaires généraux des ministères invitant à ne pas utiliser Office 365. En effet, l’utilisation de cet outil ne permet pas de respecter la règle 9 de la doctrine cloud de l’Etat, celle -ci précisant que l’offre « devra impérativement respecter la qualification SecNumCloud et être immunisée contre toute réglementation extracommunautaire » qui permettrait l’accès aux données, tels que le Cloud Act, le FISA et l’Executive Order 12333 aux Etats-Unis.
L’affaire est donc à suivre, mais il semble qu’un effet domino soit en train de se mettre en place. Nous ne pouvons que vous recommander d’envisager de changer d’outil statistique si jamais vous utilisez encore Google Analytics. De nombreuses alternatives hébergées en Europe voire auto-hébergées existent et n’attendent qu’à être utilisées ! En France, la CNIL recommande des outils tels que Matomo ou encore l’outil d »AT Internet. Nous pensons toutefois qu »AT Internet ne devrait plus être recommandé par la CNIL pour les raisons évoquées dans un article dédié, c’est pourquoi nous vous conseillons de privilégier Matomo.
Mise à jour du 10/02/2022 : La CNIL interdit l’utilisation de Google Analytics
Il n’a suffit que de quelques jours après la publication de notre article pour que la CNIL prenne position quant à l’utilisation de Google Analytics. La Commission a suivi la décision de son homologue autrichien, estimant que même si « Google a adopté des mesures supplémentaires pour encadrer les transferts de données » , ce n’est toujours pas suffisant pour garantir la conformité au RGPD des potentiels de données vers les Etats-Unisdans la mesure où elles ne permettent pas d’ « exclure la possibilité d’accès des services de renseignement américains aux données ».
Une analyse plus complète sur cette décision est disponible ici.