Blog Données personnelles
La CNIL fait le point sur les mises en demeure relatives à Google Analytics et propose la « proxyfication » comme alternative au changement de fournisseur
Pour rappel, l’association NOYB avait déposé à l’été 2021 101 plaintes auprès des CNIL européennes visant l’utilisation par des gestionnaires de sites internet de la très populaire solution de mesure d’audience « Google Analytics ». Le 10 février 2022, la Commission nationale informatique et libertés publiait sur son site internet une mise en demeure « anonymisée », concernant l’un des organismes français visés par ces plaintes. Dans cette mise en demeure, la CNIL relevait dans le sillage de son homologue autrichienne, l’illégalité des transferts de données personnelles européennes vers les serveurs de Google, ces derniers n’étant pas suffisamment encadrés au regard de la jurisprudence de la Cour de justice de l’Union européenne.
Dans une Q&A publiée le 7 juin, la CNIL confirme que l’ensemble des acteurs ayant été visés en France par une plainte pour l’utilisation de l’outil Google Analytics ont fait l’objet d’une mise en demeure. Tout au long des procédures, la CNIL n’a pas jugé opportun de révéler l’identité des responsables de traitement concernés. Cela fait sens, car outre les quelques entités visées par une plainte, la solution de Google reste extrêmement populaire en France et en Europe. Chacun des organismes visés par une de ces mises en demeure aurait disposé d’un délai d’un mois, renouvelable, afin de se mettre en conformité.
Il n’en reste pas moins que tout responsable de traitement employant Google Analytics se trouve techniquement en situation de manquement à la règlementation sur la protection des données personnelles. Comme le rappelle la CNIL, aucun encadrement juridique tel que l’emploi par Google des dernières clauses contractuelles types de la Commission européenne, ne saurait constituer un niveau de protection suffisant, les données à caractère personnel pouvant toujours faire l’objet d’une interception par le renseignement américain. Par ailleurs, la Commission rappelle que le recours au consentement prévu à l’article 49 du RGPD n’est pas une méthode appropriée d’encadrement de transferts de données récurrents et n’est donc pas adapté aux mesures d’audience.
La CNIL affirme par ailleurs, en droite ligne de ses précédentes communications, que le simple paramétrage de Google Analytics ne serait pas suffisant et recommande l’emploi d’une solution n’entrainant aucun transfert. Elle propose néanmoins une solution technique, la « proxyfication » qui consisterait en l’interposition d’un serveur mandataire afin de rompre le contact entre les données des internautes et les serveurs de Google. La Commission précise que cette mesure satisferait aux conditions posées par le CEPD dans ses recommandations du 18 juin 2021 et pourrait être appliquée à d’autres solutions de mesure d’audience. Pourtant, l’intérêt d’un tel procédé paraît discutable, la CNIL évoquant elle-même sa « complexité », son « coût » ainsi que son manque d’intérêt opérationnel.
Pour la Commission, l’enjeu semble être la promotion de solutions européennes. L’action de la CNIL a en effet conduit au constat de l’illégalité actuelle de l’utilisation de Google Analytics, pour laquelle chaque responsable de traitement se voit recommander une solution n’impliquant aucun transfert ou recours à un éditeur soumis à un accès aux données par des services de renseignement. Pourtant, plusieurs éléments viennent atténuer l’impact sur le long terme du positionnement de la CNIL. D’une part, Google fait dores et déjà évoluer son outil de façon approfondie (passage vers Google Analytics 4.0). Cette nouvelle version ne devrait pas être dans un premier temps couverte par l’analyse de la CNIL. D’autre part, les négociations entre la Commission européenne et le département du commerce américain semblent en être à un stade avancé et pourrait aboutir à un nouvel instrument encadrant les transferts de données vers les Etats-Unis dès la fin de l’année.