C’est une décision qui pourrait avoir des conséquences pour des milliers d’entreprises françaises. La Commission nationale de l’informatique et des libertés (Cnil) vient de mettre en demeure un gestionnaire de site web français – dont le nom n’est pas dévoilé – pour son usage de Google Analytics, un service de mesure d’audience de sites web proposé par la firme californienne.
Transfert de données personnelles des internautes aux États-Unis
Pour mesurer la fréquentation d’un site par les internautes, ce service de Google attribue à chaque visiteur un identifiant unique, une adresse IP, qui constitue une donnée personnelle aux yeux de la réglementation européenne. "Une donnée personnelle est une donnée qui permet d’identifier la personne de manière directe ou indirecte, ce qui au final inclut énormément d’informations. Il suffit qu’une information puisse être recoupée avec une autre information et qu’elle permette de remonter à la personne concernée pour considérer qu’il s’agit d’une donnée personnelle", rappelle Ola Mohty, juriste experte du Règlement général sur la protection des données (RGPD), pour Data Legal Drive, un éditeur français de logiciel de pilotage de la conformité RGPD.
Problème : les données des internautes sont transférées par Google aux États-Unis. La Cnil estime que "les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle". Pour l’autorité administrative française, "il existe un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées".
Selon la Cnil, l’utilisation de Google Analytics viole le RGPD et va à l’encontre de l’arrêt Schrems 2 pris par la Cour de Justice de l’Union européenne en juillet 2020. Celui-ci pointe du doigt que, s’ils ne sont pas suffisamment encadrés, les transferts de données personnelles vers les États-Unis peuvent être interceptés par les services de renseignement américains.
En s’appuyant sur ces textes, la Cnil met en demeure le gestionnaire du site web français, en lui donnant un mois pour se mettre en conformité avec les réglementations européennes, "si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors de l’Union européenne".
D’autres procédures contre des utilisateurs de Google Analytics
Cette décision pourrait avoir des conséquences pour des millions d’entreprises européennes. D’une part, parce que Google Analytics est le service d’analyse d’audience le plus répandu au monde, avec une part de marché estimée à 74 % par Le Journal du Net. D’autre part, parce que la Cnil indique avoir engagé d’autres procédures de mise en demeure. Enfin, parce qu’elle n’est pas la première en Europe à tacler Google Analytics. Il y a quelques jours, l’équivalent autrichien de la Cnil avait, lui aussi, estimé que le géant américain violait le RGPD. Et d’autres décisions pourraient suivre, suite à une centaine de réclamations déposées dans les 27 États membres de l’Union par Noyb, une association autrichienne spécialisée dans la protection des droits numériques.
"L’utilisation de Google Analytics est illégale"
Toutes ces réclamations visent des structures européennes qui transfèrent des données personnelles outre-Atlantique en utilisant le service de Google. "Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent à la même conclusion : l’utilisation de Google Analytics est illégale", commente Max Schrems, président honoraire de Noyb.
Du côté de Google, les craintes européennes ne sont pas fondées. Après la décision autrichienne, Kent Walker, responsable des affaires publiques du géant américain avait vivement réagi. Depuis la création du service Google Analytics, en 2005, "nous n’avons pas une seule fois reçu le type de demande [de la part des autorités américaines] sur laquelle spécule [l’autorité autrichienne]. Et nous ne nous attendons pas à en recevoir, car ce genre de requête aurait peu de chance de rentrer dans l’objet très restreint de la loi américaine", a-t-il écrit, cité par nos confrères du Monde.
Que faire alors pour mesurer l’audience de son site web ?
Dans cette bataille juridique, que peuvent faire les nombreux utilisateurs européens de Google Analytics ? Pour la juriste Ola Mohty, "tout site qui utilise Google Analytics peut être sanctionné pour les mêmes raisons par la Cnil". Pas la peine de paniquer, la sanction se limite pour l’instant à une mise en demeure. Mais si les contrevenants ne rentrent pas dans le rang, l’addition peut vite s’alourdir. Un manquement grave au RGPD peut valoir à son auteur "une amende qui peut se monter jusqu’à 4 % du chiffre d’affaires annuel", rappelle Ola Mohty. Pour l’heure, ce taux n’a jamais été appliqué. Mais la Cnil ne rigole pas. En décembre dernier, elle a sanctionné Google d’une amende de 150 millions d’euros et Facebook à hauteur de 60 millions d’euros pour non-respect de la réglementation sur les cookies.
Alors, que faire dans ces conditions pour les entreprises françaises qui utilisent Google Analytics ? À écouter la Cnil, il ne faudrait pas utiliser le service dans ses conditions actuelles et utiliser une solution concurrente hébergée en Europe ou n’utilisant pas de données personnelles. L’autorité française "pousse les entreprises à se tourner vers des solutions alternatives, qui peuvent davantage protéger les données personnelles. Ces outils existent, mais ne sont pas aussi efficaces que Google, qui en prime a l’avantage d’être gratuit", note Ola Mohty. La Cnil recommande que les outils d’analyse d’audience "servent uniquement à produire des données statistiques anonymes, permettant une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux". Maintenant, est-ce dans l’intérêt de Google de collecter des données impersonnelles ?
À plus long terme, Max Schrems entrevoit deux options : "Soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et pour l’Union européenne. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain – et non de quiconque en Europe".
