skip to content

Schrems II - Quels conséquences si vous utilisez Google Analytics & Co. en 2022?

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Découvrez ce que signifie le Schrems II et quelles seront les conséquences si vous utilisez Google Analytics et d'autres services liés aux données en 2022.

Le 16 juillet 2020, le Privacy Shield était invalidé par l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE). En cause, les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis. Et plus particulièrement, le risque que les services de renseignement américains puissent accéder aux données personnelles transférées aux États-Unis.

Le 10 février 2022, la CNIL remet le sujet sur la table, avec la mise en demeure d’un gestionnaire de site web pour avoir utilisé Google Analytics, et par conséquent permis le transfert vers les États-Unis des données personnelles lié aux utilisateurs du site en question.

Quels sont les conséquences de l’arrêt Schrems II, notamment en ce qui concerne l’utilisation d’outils de suivi non européens tels que Google Analytics. Pourquoi la mise en demeure par la commission nationale de l’informatique et des libertés constitue un élément supplémentaire d’actualité ? Quelles sont les implications à court et moyen termes pour les millions de sites internet édités par les sociétés Européenne qui utilisent ce dispositif de suivi des utilisateurs sur les sites web ?

Collecte et traitement des données à caractère personnel

Pourquoi ça coince avec Google Analytics ?

Lors de l’utilisation de Google Analytics - indépendamment de la configuration concrète et des réglages effectués - des informations qui, du point de vue du règlement général de l’UE sur la protection des données (RGPD), doivent être considérées comme des données à caractère personnel, sont toujours collectées et traitées. Le traitement de ces informations est donc soumis à la réglementation européenne en matière de protection des données, de sorte que les directives correspondantes en matière de protection des données doivent être respectées.

Certes, Google Analytics prévoit par défaut l’anonymisation automatique des adresses IP des utilisateurs de sites web et d’applications suivis dès la saisie des données utilisateur par Google. Cette anonymisation n’est pas simplement facultative, mais obligatoire, et ne peut pas être désactivée par les gestionnaires de sites. (Mais alors il est où le souci ?)

Toutefois, cela ne permet pas d’exclure totalement - en tout cas pas avec certitude - l’identification des utilisateurs du site web/de l’application concernés.

En effet, la possibilité de relier toutes les informations collectées via Google Analytics à un pseudonyme donné permet éventuellement de tirer des conclusions sur l’identité des différents utilisateurs de sites web /applications et sur leur comportement. Les différents utilisateurs de ces sites peuvent éventuellement être reconnus sur d’autres sites web et dans d’autres applications.

C’est bien cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées qui bloquent, car lesdites données sont transférées par Google aux États-Unis.

Quelle est l’importance de l’arrêt Schrems II de la CJUE ?

En principe, cet arrêt n’a d’effet qu’entre les parties concernées, à savoir la juridiction irlandaise de renvoi et la CJUE. En réalité, il a un effet contraignant sur tous les États membres, respectivement sur leurs juridictions et autorités.

Transfert vers les États-Unis

L’arrêt concerne toutes les autorités, tous les tribunaux et toutes les entreprises qui transfèrent des données vers les États-Unis, et pas seulement lorsque le traitement des données est basé sur le Privacy Shield.

Il concerne également le transfert de données effectué par le biais de la clause contractuelle standard (CCS). En effet, même en cas d’utilisation de ces clauses, il faut tenir compte du fait qu’elles ne garantissent pas à elles seules le niveau de protection dans le pays destinataire des données qui prévaut dans l’UE. L’exportateur de données est tenu, sur la base de l’arrêt, d’examiner le système juridique en vigueur dans ce pays afin de déterminer s’il offre un niveau de protection adéquat et s’il confère des droits exécutoires à la personne concernée. Cet examen est déjà difficile, car toutes les entreprises ne disposent pas d’un service juridique et celui-ci ne connaît pas ou ne peut pas examiner avec certitude les systèmes juridiques étrangers.

Si un niveau de protection adéquat ne peut être présumé avec certitude dans le pays destinataire, l’expéditeur de données doit alors garantir la protection des droits des personnes concernées par d’autres mesures avant le transfert de données, comme le prévoit le RGPD.

Le chiffrement peut être utile à cet égard, tant que l’exportateur de données conserve la clé, ou la pseudonymisation, même si la liste de réidentification reste chez l’exportateur de données.

L’anonymisation est également possible, mais il faut veiller à ce que celle-ci soit effective. Car l’idée que les praticiens se font de l’anonymisation divergent souvent de celles des autorités de contrôle …

Transfert vers des pays tiers

Si l’effet de cet arrêt ne concernait que les entreprises qui échangent des données avec les États-Unis, il serait trop court. En fin de compte, l’arrêt concerne toutes les entreprises qui transfèrent des données vers un pays en dehors de l’UE et de l’EEE et pour lequel il n’existe pas de décision d’adéquation conformément à l’article 45, paragraphe 3 du RGPD de l’UE. Dans ces pays, il faut dès à présent procéder à un contrôle systématique :

  • Si la personne concernée a des droits en matière de protection des données, tels qu’ils sont définis aux articles 15 et suivants du RGPD,
  • S’il existe une possibilité adéquate de faire appel à des tribunaux et à des autorités de contrôle indépendants et
  • Quelles sont les possibilités d’accès aux données pour les autorités nationales, et en particulier pour les services secrets.

Les conséquences à court et moyen termes pour 2022

Sur la base de l’arrêt Schrems II, il est clairement établi que toute entité ayant utilisé depuis le 16 juillet 2020 un service de suivi d’utilisateur extra-européen sur son site/application viole l’article 44 et suivant du RGPD relatif au principe général sur le transfert de données.

Utilisation d’outils de suivi non européens

Si la bannière Consent-Cookie est correctement installée, il convient de noter qu’une grande partie des principaux outils de suivi sont extra-européens, c’est-à-dire qu’ils sont en grande partie exploités par des entreprises américaines. Dans les déclarations de protection des données et les politiques de cookies, il est souvent fait référence au Privacy Shield américain dans la description du service, ce qui n’est plus possible après Schrems II. En outre, leur utilisation n’est plus guère envisageable dans le respect de la protection des données.

Des particuliers déposent déjà des plaintes auprès des autorités de surveillance lorsque ces outils de suivi continuent d’être utilisés par des entreprises. Dans la foulée, la CNIL a donné le ton (un peu tardivement?) avec la mise en demeure du 10 février 2022. Ceux qui agissent encore aujourd’hui sans bannière de cookie de consentement en bonne et due forme et qui utilisent des technologies non européennes en seront tôt ou tard pour leurs frais.

La complainte du service marketing

Même si les départements marketing se plaignent actuellement que les outils de suivi sont indispensables (et que les services juridiques commencent à suer à grosse goûtes). Vous devriez absolument rechercher des services de suivi alternatifs qui n’ont pas ce problème de transfert. Des solutions existent : « alternative à Google Analytics RGPD » dans votre moteur de recherche devrait vous donner quelques résultats. Par ailleurs, vous devriez documenter cette recherche au cas où, afin de pouvoir prouver votre activité aux autorités de surveillance le cas échéant.

Si vous estimez toujours devoir utiliser des outils de suivi non européens, vous devez mettre en perspective le risque d’amende et le bénéfice que vous tirez de l’utilisation de l’outil de suivi. Dans le cas contraire, il convient d’arrêter ces outils qui posent des problèmes de transfert et de chercher des alternatives.

Bien qu’il n’existe pas encore de substitut adéquat pour certaines fonctionnalités, l’adoption massive de certaines alternatives devrait motiver l’ajout des services manquants.

Si vous êtes du genre rock’n’roll, vous pouvez aussi attendre que Google & Co. décident de palier au problème. Et comme nous l’avons vu précédemment, cette situation perdure depuis l’arrêt Schrems II, soit, depuis 2020.

En résumé, une mise en demeure de la CNIL qui intervient 2 ans après l’arrêt Schrems II, le tout dans un contexte où il n’existe plus d’accord d’échange de données entre les US et l’Europe depuis le 16 juillet 2020, et où les autorités, les entreprises et les particuliers utilisent toujours des services violant plusieurs articles du RGPD… Autant dire que nous naviguons entre deux réalités : la théorie et la pratique.