L’outil Google Analytics, largement utilisé, permet la réalisation de statistiques sur l’audience d’un site internet via le dépôt de cookies permettant l’adoption d’une stratégie marketing.

 

En ce début d’année 2022, l’outil se trouve au cœur de l’actualité pour manquement au RGPD dans le cadre du transfert de données vers les Etats-Unis.

ITLAW Avocats décrypte pour vous les contraintes légales applicables afin de vous accompagner au mieux dans votre mise en conformité RGPD.

 

Que reproche-t-on à Google ?

Pour mémoire, en juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield garantissant la libre circulation des données entre l’Union européenne et les Etats-Unis par l’arrêt dit « Schrems II ».

Cette invalidation est la conséquence :

  • de l’absence de décision d’adéquation de la Commission européenne établissant que les Etats-Unis assurent un niveau de protection adéquat des données à caractère personnel,
  • de la présence au sein du corpus juridique américain de lois telles que le Cloud Act et/ou du Foreign Intelligence Surveillance Act (FISA) permettant aux services de renseignement américains d’accéder aux données personnelles transférées aux États-Unis.

Bien que les conditions générales de Google Analytics précise qu’il est interdit d’ajouter quelque donnée personnelle que ce soit, cette stipulation n’est pas en mesure d’écarter l’application du RGPD. En effet, une requête web, telle qu’une visite d’un site internet va de facto engendrer le traitement de l’adresse IP du visiteur.

Pour rappel, la Cour cassation a très clairement consacré en 2016[1] que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel »

C’est ainsi, qu’en janvier 2022, l’European Data Protection Supervisor (EDPS) et l’homologue autrichien de la CNIL (la DSB) ont considéré le transfert de données vers les Etats-Unis via l’outil Google Analytics comme étant illégal en raison de l’absence de garantie d’un niveau de protection adéquat.

Début février 2022, c’est au tour de la CNIL de mettre en demeure un gestionnaire de site internet pour transferts illégaux de données personnelles. La CNIL considère que l’outil n’offre pas les garanties nécessaires pour s’assurer du non-accès aux données personnelles des Européens par les services de renseignement américains.

Quelles garanties nécessaires pour utiliser Google Analytics ?

Depuis l’arrêt Shrems II, les transferts de données vers les Etats-Unis restent toujours possibles, à condition toutefois d’être encadrés par :

  • des clauses contractuelles types, et,
  • des mesures complémentaires.

La question qui se pose désormais est donc de savoir quelles sont les mesures complémentaires à mettre en place pour garantir un niveau effectif final de protection en ayant recours à Google Analytics ?

Adoptées en novembre 2020, le CEPD avait publié des recommandations détaillant les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel, prévoyant entre autres, la pseudonymisation ou l’anonymisation.

Il convient donc d’effectuer en amont de tout transfert une analyse de risques sur les mesures complémentaires à mettre en œuvre pour que le niveau de protection des données transférées soit porté au niveau de la norme européenne d’équivalence essentielle.

En réaction aux décisions rendues par les différentes autorités de protection des données personnelles Google a détaillé une liste de mesures supplémentaires pouvant être mises en œuvre pour assurer la conformité du transfert hors UE. Mais là encore, on pourrait s’interroger sur la marge de manœuvre laissée par Google au client pour déterminer les modalités de fourniture du service…

Quoi qu’il en soit, la CNIL recommande désormais de n’utiliser ces outils de mesure d’analyse et d’audience que pour produire des données statistiques anonymes « permettant ainsi une exemption de consentement si le responsable du traitement s’assure qu’il n’y a pas des transfert illégaux ».

Le statu quo actuel pourrait s’appliquer à tous les services de cloud ou de paiement américains traitant les données à caractère personnel d’individus européens.

En effet, même dans l’hypothèse où les données seraient stockées en Europe et non transférées vers les Etats-Unis, la situation pourrait être regardée par les autorités de protection comme similaire, dès lors que le Cloud Act et le FISA permettent aux services de renseignement américains d’accéder aux données quelle que soit leur localisation. Autrement dit, ce raisonnement conduirait à conclure à l’impossibilité de recourir aux services d’une société américaine…

Dans ce contexte, nous recommandons à chaque responsable de traitement :

  • d’établir une cartographie de leurs prestataires, sous-traitants au sens du RGPD, et les outils utilisés,
  • d’effectuer l’audit de leurs contrats avec leurs prestataires, sous-traitants au sens du RGPD,
  • d’identifier si parmi eux, certains mettent en œuvre des flux hors UE,
  • Pour les prestataire qui opèrent des flux hors UE, mettre en place des mécanismes de transfert international adéquats.

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaboratrice | ITLAW Avocats

Besoin d’aide pour y voir plus claire dans vos transferts de vos données et vérifier si vous êtes conforme ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexes, de contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

[1] Cass. Civ 1ère 3/11/2016, n°15-22.595,

Nous contacter