AccueilDécryptageLa CNIL renforce sa position contre les transferts de données vers les...

    La CNIL renforce sa position contre les transferts de données vers les États-Unis : le cas de Google Analytics

    Publié le

    La CNIL a publié, jeudi 10 février 2022, un article [1][2] annonçant la mise en demeure d’un gestionnaire de site web français vis-à-vis de l’utilisation de la solution Google Analytics du géant américain pour cause de transfert hors UE. Vous trouverez ci-dessous quelques informations pour comprendre la situation et conseiller vos clients pour accompagner leur mise en conformité.

    Google Analytics

    Google Analytics est un outil de mesure d’audience de site Web et un des leaders dans le domaine avec plus de 80% des parts de marché dans le monde.

    Pour fonctionner, l’outil envoie certaines données à caractère personnel (DCP) vers les serveurs de Google localisés aux Etats-Unis [3] :

    Processor ServiceTypes of Personal Data
    Google AnalyticsOnline identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers
    Google Analytics 360Online identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers
    Google Analytics for FirebaseOnline identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers

    Transfert de données

    Jusqu’en 2020, ce transfert était encadré par le EU-US Privacy Shield [4] qui autorisait les échanges de DCP entre les deux continents. Or, le 16 juillet 2020, la cour de justice de l’Union Européenne (CJUE) a mis fin à cet accord avec l’arrêt Schrems II, jugeant qu’il ne fournissait pas de protection suffisante vis-à-vis de la réglementation européenne de protection des données (RGPD).

    Depuis, Google a mis en place des clauses contractuelles types (CCT) [5] avec ses clients pour :

    • Garantir un niveau de protection suffisant des données
    • Légaliser le transfert des DCP aux Etats-Unis
    • Permettre l’utilisation de son service par ses clients

    Note : les CCT sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne pour transférer des données vers un pays tiers (ex : Etats-Unis) [6]

    Législation américaine

    Or, dans son article [2], la CNIL précise qu’en tant que fournisseur de communications électroniques, Google est sujet à l’article 702 de la loi américaine sur les renseignements (FAA) [7]. Google a par conséquent l’obligation, dans le cadre de la loi FAA, de fournir au gouvernement américain des données personnelles indépendamment du contenu des clauses CCT, ce qui n’est pas conforme au RGPD.

    Aussi, les mesures supplémentaires (notamment techniques) mises en place par Google sont jugées insuffisantes par la CNIL pour protéger les données DCP contre de tels accès.

    Par ailleurs, il n’existe aucun moyen technique d’empêcher le transfert des données DCP vers les Etats-Unis : l’outil ne le permettant pas.

    Cela explique la mise en demeure de la CNIL et la non-conformité vis-à-vis du RGPD de l’utilisation du service Google Analytics.

    Réponses européennes

    L’actuelle mise en demeure concerne un gestionnaire de site Web français. Comme le précise l’article, d’autres actions sont en cours au niveau européen pour faire suite aux plaintes déposées par l’association viennoise NOYB [8].

    Nous pouvons donc nous attendre à des décisions similaires dans les prochaines semaines par les autorités de contrôle européennes. En effet, la CNIL est d’ores et déjà en train de s’intéresser aux plaintes portées à l’encontre de sociétés françaises de Retail, équipementier sportif, parfumerie.  

    Solutions

    En l’état actuel des choses, c’est-à-dire sans changement des lois de renseignement américaines et sans modification rapide des mesures de protection mises en place par Google, nous recommandons à nos clients, d’identifier et mettre en œuvre des alternatives compatibles avec leurs usages.

    Dans un autre article [9] publié le 23 septembre 2021, la CNIL propose des alternatives pour faire de la mesure d’audience des sites internet, qui présentent le double avantages d’être :

    • Conforme au RGPD, c’est-à-dire sur le traitement des données à caractère personnel des utilisateurs
    • Conforme à la directive européenne ePrivacy sur l’utilisation des cookies

    En effet, pour chaque outil, la CNIL propose une configuration avec laquelle son utilisation serait exemptée de consentement.

    Parmi ces outils figurent (entres autres) :

    Alternatives gratuitesAlternatives payantes
    Abla Analytics de Astra PortaAnalytics Suite Delta de AT Internet (français)
    Piwik PRO Analytics Suite de Piwik PROSmartProfile de Net Solution Partner
    Matomo Analytics de Matomo (open source) 

    Conclusion

    Nous recommandons donc l’usage d’une des solutions alternatives proposées par la CNIL ou tout autre solution européenne dont les données seraient hébergées sur le continent. 

    Par Albane Girollet – Consultante Governance, Risks & Compliance chez Almond

    Antoine Hochenedel – Consultant Governance, Risks & Compliance chez Almond

    Marine Adreit – Consultante Governance, Risks & Compliance chez Almond

    Références

    [1] https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

    [2] https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

    [3] https://privacy.google.com/businesses/adsservices/

    [4] https://fr.wikipedia.org/wiki/Bouclier_de_protection_des_donn%C3%A9es_UE-%C3%89tats-Unis

    [5] https://www.google.com/analytics/terms/dpa/dataprocessingamendment_20200816.html

    [6] https://www.cnil.fr/fr/transfert-de-donnees-les-clauses-contractuelles-types-cct-de-la-commission-europeenne

    [7] https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act_of_1978_Amendments_Act_of_2008

    [8] https://noyb.eu/fr/plaintes-concernant-les-virements-ue-usa

    [9] https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience

    Derniers articles

    MYPE affiche une croissance de 15 % grâce à son expertise en Power BI

    MYPE annonce un chiffre d’affaires de 805 000 euros en croissance de 15% par rapport à son...

    Copilot et données sensibles : les bonnes pratiques pour une sécurité optimale

    Lorsqu'une entreprise décide d'intégrer des outils d'IA avancés comme Copilot, il est impératif de mettre...

    Reel IT choisit la solution NDR souveraine de Custocy pour ses clients

    Custocy, expert français en intelligence artificielle pour la détection d’intrusions, étoffe son réseau de...

    delaware inaugure sa nouvelle agence à Nantes

    L’entreprise de service numérique delaware confirme son solide positionnement sur la région Ouest et...

    Ces articles pourraient vous intéresser

    Copilot et données sensibles : les bonnes pratiques pour une sécurité optimale

    Lorsqu'une entreprise décide d'intégrer des outils d'IA avancés comme Copilot, il est impératif de mettre...

    Transformer la gestion client grâce à l’IA : défis et opportunités

    Par Bertrand Pourcelot, DG Enreach for Service Providers L’IA s’invite aujourd’hui largement dans le quotidien...

    Collaboration, sécurité et IA : les grands enjeux du Digital Workplace en 2024

    Experteam, société de conseil et d’expertise IT, et Mozzaik365, éditeur de solutions de Digital Workplace intégrées...

    Mesurer et optimiser l’expérience numérique avec le Digital Experience Monitoring

    1.Introduction et contexte La transformation numérique a profondément modifié les attentes des utilisateurs, qui exigent...

    Avantages clés de la fibre optique professionnelle pour les entreprises

    S’appuyer sur une connexion rapide, sécurisée et fiable est un incontournable dans la sphère...

    L’assistance à maîtrise d’ouvrage, un gage de réussite

    Faire évoluer son système d’information, particulièrement depuis que ce dernier s’est nettement complexifié, n’est...