Comprendre ce qu’il se passe autour de la CNIL et de Google Analytics

Le contexte

En mai 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield, un accord qui encadrait le transfert de données personnelles de l’Espace Economique Européen vers les Etats-Unis (incluant cookies, métadonnées comme l’adresse IP, ID, ID de Transaction, données CRM, etc.).

Depuis 2020, les organisations qui doivent transférer des données hors d’Europe utilisent donc des clauses contractuelles types (CCT) définies par l’Union Européenne et requérant des mesures organisationnelles et techniques supplémentaires, propres à chaque type de transfert (selon les données traitées et le service fourni).

Google Analytics, épinglé par la CNIL en France

À la suite d’une centaine de plaintes déposées par l’association NOYB concernant le transfert vers les Etats-Unis de données collectées lors de visites sur des sites web utilisant Google Analytics, la CNIL française a mis en demeure un éditeur français pour son paramétrage de la solution.

La CNIL française (tout comme la CNIL autrichienne) juge que les transferts de données réalisés par Google Analytics vers les Etats-Unis sont illégaux. Leur homologue belge (APD) a quant à elle remis en cause le TCF (Transparency & Consent Framework), un standard de transmission du consentement des utilisateurs entre des partenaires publicitaires, géré par l’IAB Europe.

L’utilisation de Google Analytics est-elle illégale ?

La CNIL n’est pas un législateur, elle interprète seulement la loi (c’est pourquoi les CNIL de différents pays européens peuvent avoir différentes interprétations d’un même sujet). Dans le cas particulier, la CNIL a épinglé un cas de paramétrage de Google Analytics qu’elle a jugé non conforme avec le cadre réglementaire en vigueur.

Pour trancher la question de la légalité de Google Analytics, l’éditeur de site web mis en demeure devra saisir le Conseil d’Etat. De son côté, la CJUE n’interdit pas de façon absolue tout transfert de données vers les Etats-Unis puisqu’elle reconnaît la validité du recours à d’autres outils juridiques (clauses contractuelles types) conditionnée aux circonstances du transfert et aux niveaux de garantie offerts. L’analyse devrait donc plutôt se faire au cas par cas.

La contradiction entre les autorités européennes et les régulateurs introduit toutefois beaucoup d’incertitude juridique pour les entreprises.

Google Analytics est-elle la seule solution concernée ?

Dans les faits, La CNIL s’est uniquement saisie du dossier Google Analytics mais ce qui est reproché à Google Analytics concerne en réalité toutes les solutions SaaS américaines. En effet, ces solutions sont soumises au Cloud Act, une loi fédérale américaine qui permet au gouvernement des Etats-Unis d’accéder aux données des serveurs des sociétés de son pays, quelle que soit leur localisation. Le problème se situe donc plutôt du côté de la politique puisque le Cloud Act américain semble fondamentalement incompatible avec le RGPD européen. Pour les entreprises, le sujet pourrait donc s’étendre à une grande partie des outils CRM, DPM, Automation, etc.

Actualités & Nouveautés sur GA4

En mars 2022, Google a annoncé une nouvelle version de Google Analytics, GA4, pour juillet 2023. Un produit qui ne sera plus construit autour des sessions des visiteurs mais autour des utilisateurs et des événements. GA4 présentera aussi un plus grand degré de personnalisation des fonctionnalités de privacy. En particulier, l’adresse IP ne sera plus stockée et la première lecture des informations clients se fera uniquement en Europe (annonce Google, mars 2022).

En parallèle, le 25 mars dernier, un accord de principe a été reconnu entre la France et les Etats-Unis pour la mise en place d’un nouveau Privacy Shield (seul moyen de résoudre le sujet sur le long terme), mais les contours de cet accord ne sont pas encore connus et n’ont pas encore été validés au niveau européen.