L’affaire Google Analytics et la jurisprudence Schrem II
Analyse de Florence Raynal
Chef du service européen et international de la CNIL
Florence a débuté sa carrière à New-York au sein du cabinet Donahue & Partners LLP. Elle a ensuite assuré les fonctions de directeur de mission sénior dans le cabinet d’avocats d’Ernst & Young. Elle a parallèlement conseillé Ernst & Young dans ses opérations de mise en conformité au plan européen, dont elle a été aussi désignée Correspondant Informatique & Libertés en France.
Google Analytics, outil utilisé par 80% des entités européennes, permet de mesurer la fréquentation des sites internet par les internautes. Pour ce faire, Google attribue un identifiant unique (qui constitue une donnée personnelle). Celui-ci et l’historique de navigation des internautes sont transférées vers les Etats-Unis.
Saisie de plusieurs plaintes de l’Association None of Your Business (NYOB), la CNIL a analysé, en coopération avec ses homologues européens, les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis.
Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.
La CNIL a conclu que les transferts vers les États-Unis n’étaient pas suffisamment encadrés à l’heure actuelle par Google dans le cadre de l’utilisation de leur outil Google Analytics. Les gestionnaires de sites web français utilisant Google Analytics visés par les plaintes de NYOB ont donc été mis en demeure en février de ne plus utiliser cet outil dans les conditions actuelles ou en ayant recours à un outil n’entraînant pas de transfert hors UE.
Remontons un peu en arrière pour comprendre pourquoi : l’arrêt de la Cour de Justice de l’Union européenne dit « Schrems II » a invalidé le Privacy Shield, une décision d’adéquation de la Commission européenne permettant le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.
En effet, le juge européen a considéré que les lois américaines en matière de surveillance n’apportaient pas de garanties suffisantes au regard du droit européen.
Dans ce cas, les entreprises soumises à ces lois doivent mettre en place des mesures supplémentaires pour renforcer la protection des données et écarter ou rendre inopérant l’application de ces lois, pour permettre un transfert légal de données personnelles aux Etats-Unis.
Or, la CNIL et ses homologues européens ont constaté que les mesures supplémentaires mises en place par Google ne suffisaient pas à exclure la possibilité d’accès des services de renseignements américains à ces données et n’apportaient pas de garanties suffisantes en matière de protection des données au regard du droit européen.
Il existe donc un risque pour les personnes utilisatrices des sites français ayant recours à cet outil et dont les données sont exportées.
En attendant les suites espérées d’un dialogue entre les autorités américaines et la Commission européenne sur une nouvelle décision d’adéquation, la CNIL instruit les suites données à ces mises en demeure.
La CNIL recommande ainsi à toute entreprise ou collectivité locale d’utiliser des outils d’analyse en ligne qui produisent des données statistiques anonymes ou qui n’entraînent pas de transferts hors UE non conformes à la jurisprudence Schrems II.
Pour aller plus loin :