Cliquez ici pour télécharger l’article.
Après l’autorité autrichienne de protection des données, c’est au tour de l’autorité française, à savoir la CNIL, de considérer illégale l’utilisation de Google Analytics, notamment les transferts de données des utilisateurs vers les États-Unis.
En qualité de responsables du traitement, ce sont les éditeurs de site internet qui encourent des risques allant du simple contrôle de la CNIL, à la mise en demeure voire à une sanction financière pour l’utilisation d’un tel outil.
Présentation de la mise en demeure de la CNIL
Contexte – A la suite de la décision de la CJUE rendue le 16 juillet 2020 ayant invalidé le Privacy Shield, l’association de protection des droits NOYB a poursuivi son combat en déposant 101 plaintes devant les différentes autorités de protection des données Européennes.
Saisie de l’une de ces plaintes et dans le cadre d’une mise en demeure en date du 10 février 2022, la CNIL a considéré que les transferts de données à caractère personnel vers les États-Unis, réalisés dans le cadre de l’utilisation de Google Analytics sur la base des clauses contractuelles types (CCT), sont illégaux.
En effet, en qualité de fournisseur de communications électroniques au sens de la règlementation américaine FISA 702, l’entité américaine Google LLC a l’obligation de fournir au gouvernement américain les données à caractère personnel collectées via les outils qu’il met en place. La CNIL relève par ailleurs que Google LLC est régulièrement destinataire de telles demandes d’accès par les services de renseignement américains.
De plus, Google LLC ne rapporte pas la preuve que les éventuelles mesures supplémentaires mises en place permettraient de prévenir voire de réduire les possibilités d’accès des renseignements américains.
Par conséquent, les éditeurs de site internet utilisant cet outil en qualité de responsables de traitement ne respectent pas les exigences des articles 44 et suivants du RGPD et risquent d’être sanctionnés par la CNIL.
L’article 49 du RGPD, une porte de sortie ? – La CNIL laisse entrevoir une alternative aux CCT par l’application de l’une des dérogations prévues à l’article 49 du RGPD qui permettrait aux éditeurs de site internet d’obtenir un « consentement explicite » c’est-à-dire un consentement renforcé des utilisateurs qui seraient également informés des risques du transfert de leurs données.
Dans le cas d’espèce, la CNIL a rendu inapplicable cette dérogation, mais sa démonstration soulève de nouvelles questions pratiques quant à la mise en œuvre éventuelle de ce consentement renforcé pour justifier la légalité des transferts.
Google LLC, l’unique cible ? – L’association NYOB et la CNIL ont indiqué que ces actions ne ciblaient pas uniquement Google Analytics, mais l’ensemble des pratiques d’externalisation mises en œuvre par des fournisseurs américains.
La CNIL a par ailleurs publié le 16 février 2022 les thèmes prioritaires de contrôle au titre desquels figure le Cloud. Sur ce sujet, la CNIL a indiqué que ces nouveaux « mécanismes » sont susceptibles de « comporter des risques » pour la protection des données personnelles, notamment de « transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ».
La guerre est donc déclarée contre les fournisseurs de services américains, et à tout le moins contre Google LLC, puisque la CNIL a enjoint au gestionnaire du site internet visé par la mise en demeure :
– de mettre en conformité ses traitements avec le RGPD,
– si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles),
– ou en ayant recours à un outil n’entraînant pas de transfert hors de l’Union Européenne,
le tout dans un délai d’un mois, au risque d’être sanctionné par la formation restreinte à une amende pouvant s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.