Arrière-plan
Suite aux plaintes de l’association NOYB concernant l’utilisation de la solution de mesure d’audience Google Analytics, l’Autorité Français de protection des données (CNIL) avait adressé plusieurs mises en demeure à Français entreprises utilisant cette solution sur leurs sites internet. Ces décisions ont été rendues dans le contexte d’autres décisions des autorités européennes de protection des données comme celle de l’Autriche, et à la suite de l’arrêt Schrems II de la CJUE invalidant le bouclier de protection des données qui a imposé de mettre en œuvre des mesures supplémentaires aux clauses contractuelles types pour couvrir le transfert de données à caractère personnel en dehors de l’UE.
La CNIL n’avait rendu publique qu’une seule de ces décisions en février 2022 de manière anonyme. Dans cette décision, la CNIL considère que l’utilisation de la solution de mesure d’audience Google Analytics n’est pas conforme au RGPD car les données personnelles collectées via les cookies de la solution sont transférées aux États-Unis sans que des mesures suffisantes soient appliquées pour empêcher tout accès éventuel des autorités aux données personnelles. Bien que des efforts aient été déployés par Google pour déployer des mesures supplémentaires en considération de l’arrêt Schrems II, la CNIL estime que cela n’est toujours pas suffisant.
La CNIL recommande d’anonymiser les données personnelles collectées à travers les cookies de mesure d’audience. De cette façon, la solution peut bénéficier de l’exemption de consentement applicable aux cookies de mesure d’audience en France. L’exemption de consentement ne s’applique qu’aux outils répondant à un ensemble de critères cumulatifs publiés par la CNIL, l’un d’entre eux étant de ne produire que des données statistiques anonymes. Le responsable du traitement doit toutefois continuer à s’assurer que les transferts en dehors de l’UE sont conformes.
Afin de fournir plus de contexte sur ces décisions et d’apporter des solutions possibles, la CNIL a publié le 7 juin 2022 une séance de questions-réponses sur l’utilisation de Google Analytics ainsi que des conseils sur l’utilisation d’une solution de mesure d’audience conforme.
Principaux points à retenir
Toute entreprise utilisant Google Analytics est concernée
Les questions et réponses sont courtes et ne fournissent pas beaucoup plus d’informations que celles déjà fournies dans la décision anonymisée publiée en février 2022. Toutes les entreprises Français parmi les 101 plaintes de l’association NOYB ont maintenant reçu une mise en demeure de la CNIL concernant l’utilisation de Google Analytics et elles disposent d’un délai de 1 mois (renouvelable) pour s’y conformer.
L’objectif de ce Q&R est que la CNIL précise que la prescription de la seule décision publiée (février 2022 – anonymisée) doit être comprise comme étant applicable à toutes les entreprises utilisant la solution et pas seulement aux entreprises ayant reçu une mise en demeure.
Rejet d’une approche fondée sur les risques
La CNIL considère que les garanties juridiques, organisationnelles et techniques supplémentaires déployées par Google, telles que les clauses contractuelles types et les mesures supplémentaires, ne seront toujours pas suffisantes pour empêcher l’accès par les autorités non européennes, Google restant soumis aux juridictions américaines.
La CNIL refuse catégoriquement une approche basée sur les risques et considère que les risques restent aussi longtemps qu’un accès aux données est possible : selon la CNIL, même si l’accès des autorités américaines aux données collectées via la solution Google Analytics est peu probable (c’est-à-dire qu’en pratique les autorités ne font pas de telles demandes d’accès aux données), tant qu’un accès est techniquement possible, alors des mesures techniques sont nécessaires pour rendre cet accès impossible ou inefficace.
La CNIL indique clairement que la question n’est pas « L’accès par des autorités étrangères est-il probable ? », la seule question pertinente étant « L’accès par des autorités étrangères est-il possible ? »
Plusieurs options sont évoquées dans les Q&R pour une utilisation conforme de la solution de mesure d’audience Google Analytics, mais la plupart d’entre elles sont considérées comme insuffisantes par la CNIL et il semble que seule la solution « proxy » soit considérée comme acceptable par la CNIL :
Modification des paramètres de la solution : insuffisant
Modifier les paramètres de la solution Google Analytics (par exemple changer les caractéristiques du traitement de l’adresse IP, héberger uniquement des données personnelles au sein de l’UE, etc.) n’est pas suffisant selon la CNIL tant que l’accès possible par des autorités non européennes est encore possible et permet d’identifier l’utilisateur et de suivre sa navigation d’un site à l’autre.
Chiffrement des données : actuellement insuffisant
La CNIL souligne que le chiffrement n’est une solution acceptable que si les clés de chiffrement sont conservées sous le contrôle exclusif de l’exportateur de données ou par d’autres entités établies au sein de l’UE ou dans des pays adéquats.
Concernant Google Analytics, la CNIL considère que l’encrypLa présence de données n’est pas suffisante car, dans la pratique, Google LLC est l’entité qui:
- crypte les données;
- conserve la clé de chiffrement; et
- est dans l’obligation de les fournir lors de la réception des demandes d’accès (soit en accordant l’accès, soit en fournissant les données importées en sa possession).
La CNIL conclut que, Google LLC ayant toujours la possibilité d’accéder aux données en clair, les mesures de cryptage ne peuvent être considérées comme efficaces en cas de demandes des autorités américaines. La conclusion à tirer est donc que le cryptage serait une mesure appropriée si Google LLC n’avait pas accès à des données claires ou aux clés de cryptage.
Collecte du consentement des utilisateurs : Sans objet
La collecte du consentement des utilisateurs pour les transferts de données n’est pas suffisante car, bien qu’il s’agisse de l’une des garanties énumérées à l’article 49 du RGPD, celle-ci est considérée par le comité européen de la protection des données comme applicable uniquement aux transferts uniques et non récurrents et ne peut pas être utilisée comme solution permanente pour les transferts systématiques de données à caractère personnel.
Utilisation d’un proxy : pourrait être approprié
La CNIL semble n’identifier comme solution possible que l’utilisation d’un mandataire. En effet, selon la CNIL, l’enjeu principal concerne le contact direct, via une connexion HTTPS, entre les appareils des utilisateurs et les serveurs de Google, qui permet de collecter l’adresse IP des utilisateurs ainsi que de nombreuses autres informations qui permettent de ré-identifier l’utilisateur. Seules les solutions qui rompent ce contact entre l’appareil et le serveur, comme un proxy, peuvent résoudre ce problème, car les données seraient pseudonymisées avant d’être transférées en dehors de l’UE.
Le mandataire, ou une solution similaire, doit être conforme aux critères du comité européen de la protection des données, et notamment:
- Les données pseudonymisées ne peuvent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, conformément à l’article 4, paragraphe 5, du RGPD ;
- Ces informations supplémentaires ne sont conservées que par l’exportateur de données et conservées séparément dans un État membre de l’UE ou un pays adéquat;
- Des garanties techniques et organisationnelles empêchent la divulgation ou l’utilisation non autorisée de ces informations supplémentaires (c’est-à-dire que l’exportateur de données est le seul à avoir le contrôle sur les clés de chiffrement, l’algorithme ou le référentiel, par exemple, qui permettent de réidentifier la personne concernée à l’aide des informations supplémentaires); et
- Le responsable du traitement a effectué une analyse établissant que les autorités publiques accédant aux données pseudonymisées ne peuvent pas réidentifier la personne concernée, même en croisant les données pseudonymisées avec les informations supplémentaires.
Par ailleurs, dans le guide sur l’utilisation d’une solution de mesure d’audience conforme publié en même temps que les questions-réponses, la CNIL souligne également que l’utilisation d’un proxy nécessite des mesures spécifiques (par exemple absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure, remplacement de l’identifiant utilisateur par le serveur proxy, absence de toute collecte d’identificateurs intersites, etc.) à déployer et que le serveur proxy doit être hébergé dans des conditions garantissant que les données qu’il traitera ne seront pas transférées en dehors de l’UE.
En pratique, tous ces critères rendent l’application difficile d’un point de vue technique. La CNIL elle-même reconnaît que cela peut être très coûteux et complexe dans la pratique, et recommande éventuellement d’utiliser des solutions alternatives à Google Analytics.
Solutions alternatives
La CNIL a publié sur son site internet une liste de solutions de cookies exemptées de consentement et qu’elle considère comme conformes lorsqu’elles sont correctement configurées. Il existe actuellement 18 solutions certifiées. La CNIL indique toutefois que de telles solutions n’ont pas été évaluées sur la question des transferts internationaux, ce qui signifierait que, bien qu’elles soient répertoriées par la CNIL comme conformes, elles ne peuvent pas être utilisées en tant que telles mais nécessitent d’abord de vérifier les transferts de données et d’appliquer les garanties de Schrems II.
Quelles sont les prochaines étapes?
Les solutions proposées par la CNIL restent en pratique difficiles à appliquer et aucune solution réalisable n’est finalement proposée aux entreprises. Comme prochaines étapes, ces questions et réponses devraient être considérées comme un rappel aux entreprises d’évaluer leur solution de mesure d’audience et de déterminer si les mesures mises en place pour limiter l’accès aux données par les autorités sont suffisantes.