L’autorité française de protection des données (DPA), la Commission Nationale de l’Informatique et des Libertés (CNIL), a annoncé son décision le 10 février 2022, que l’utilisation de Google Analytics par des entreprises de l’UE viole l’article 44 du règlement général sur la protection des données (RGPD). La CNIL a constaté que même si Google avait adopté des mesures supplémentaires pour protéger les données personnelles transférées aux États-Unis dans le cadre de la fonctionnalité Google Analytics, ces mesures étaient insuffisantes pour empêcher l’accès aux données personnelles des internautes de l’UE par le gouvernement américain, ce qui a entraîné la violation de l’article 44 du RGPD.

Il s’agit de la deuxième décision découlant de 101 plaintes qu’un groupe européen de défense de la vie privée, None of Your Business (NOYB) (une organisation cofondée par le militant de la vie privée Max Schrems), a déposé auprès de 14 DPA de l’UE contre 101 contrôleurs de données qui auraient transféré des données personnelles aux États-Unis via Google Analytics et Intégrations de Facebook Connect dans leurs pages Web. La décision de la CNIL fait suite à celle de la DPA autrichienne décision publié en janvier constatant que les transferts de données vers les États-Unis associés aux fonctionnalités intégrées de cookies et d’analyse de données violent le RGPD.

Les deux arrêts sont le résultat de la décision de la Cour de justice de l’Union européenne (CJUE) de juillet 2020 dans Schrem IIqui a invalidé le bouclier de protection des données UE-États-Unis (Privacy Shield) qui avait permis des transferts de données transfrontaliers légaux de l’UE vers les États-Unis.

Le problème

Dans les affaires autrichienne et française, le problème était le transfert par des sites Web de l’UE de certaines données de cookies, telles que les adresses IP et les identifiants uniques des internautes, aux États-Unis pour traitement par Google Analytics. L’article 44 du RGPD oblige les entreprises à s’assurer que les données personnelles transférées vers un autre pays en dehors de l’UE bénéficient d’une protection « adéquate » en vertu des lois de ce pays destinataire.

Étant donné que la Commission européenne n’a pas estimé que les États-Unis offraient un niveau « adéquat » de protection des données, les entreprises transférant des données à caractère personnel de l’UE vers les États-Unis doivent utiliser l’un des nombreux mécanismes de transfert de données approuvés pour garantir un transfert légal, tels que les accords contractuels standard. des clauses contractuelles (SCC), des règles d’entreprise contraignantes (si une entreprise cherche à effectuer des transferts intra-entreprise), ou — jusqu’à ce que Schrem II décision—le Bouclier de protection des données.

Bien que le Schrem II décision a invalidé uniquement le bouclier de protection des données, la décision continue d’avoir des implications négatives pour autre mécanismes de transfert, tels que les SCC qui étaient en place et contestés dans le cas autrichien et apparemment aussi dans le cas français.

Les décisions

Plus précisément, la CNIL a noté que la CJUE a annulé le bouclier de protection des données en partie en raison de préoccupations concernant l’accès présumé du gouvernement américain aux données personnelles une fois qu’elles sont transférées et conservées par des entreprises privées aux États-Unis, estimant qu’il existe « un risque pour les Français les utilisateurs du site Web qui utilisent ce service et dont les données sont exportées. »

Dans l’affaire autrichienne, la DPA a constaté que ces préoccupations s’appliquaient avec la même force aux transferts de données de cookies par le biais de Google Analytics effectués dans le cadre des SCC, car Google est un fournisseur de services de communications électroniques (ECS) et soumis à la surveillance des services de renseignement américains en vertu de la Foreign Intelligence Surveillance Act (FISA) et Executive Order 12333. De plus, les SCC ne protègent pas contre la surveillance du gouvernement américain et les mesures supplémentaires que Google avait adoptées – publication de rapports de transparence réguliers, pseudonymisation des données et même cryptage – étaient insuffisantes pour faire face au risque. posé par l’accès des autorités de renseignement américaines aux données des fournisseurs d’ECS.

De même, la CNIL a conclu que « les transferts vers les États-Unis ne sont actuellement pas suffisamment réglementés ». La CNIL a donné un mois à l’exploitant du site pour s’assurer que son traitement est conforme au RGPD, « si nécessaire en cessant d’utiliser la fonctionnalité Google Analytics » ou en utilisant un autre outil ne transférant pas de données hors de l’UE. En outre, la CNIL a recommandé que les outils d’analyse ne produisent que des données statistiques anonymisées pour éviter de déclencher une obligation de consentement, bien qu’il ne soit pas clair si de telles données anonymisées seraient analytiquement utiles.

Conséquences

Il est fort probable que les décisions restantes concernant les 101 plaintes de NOYB rejetteront de la même manière l’utilisation ultérieure de Google Analytics comme une violation de l’article 44. Si cette tendance se poursuit, les exportateurs de données de l’UE qui utilisent des services basés aux États-Unis devront anonymiser leurs données avant de les transférer. ou cesser complètement de le transférer car ni les contrôleurs de l’UE ni les fournisseurs américains ne peuvent limiter l’accès du gouvernement américain.

En attendant, tout le monde devra attendre un nouvel accord de protection de la vie privée qui, espérons-le, survivra à un examen minutieux en vertu de Schrem II.

[View source.]