Le 10 février 2022, la Commission nationale de l'informatique et des libertés (ci-après « Cnil ») a mis en demeure un gestionnaire de site web français qui utilisait Google Analytics, suite à la plainte de l’association autrichienne « None Of Your Business » (ci-après « NOYB »), une organisation de protection de la vie privée. NOYB avait réagi à la suite du transfert, vers les États-Unis, de données à caractère personnel collectées automatiquement, par les sites web, lors de la visite d’utilisateurs. 

 

Google Analytics : fonctionnement de l’outil 

 

Google Analytics est un outil gratuit permettant d’analyser « des données utilisateurs afin de vérifier plus précisément les performances marketing » de l’entreprise. Il fournit aussi, des insights, « opinion d'un consommateur qui motive ou freine sa consommation », afin « d’exploiter efficacement » ces données. 

 

En effet, la fonctionnalité Google Analytics permet aux gestionnaires de site de surveiller et entretenir la stabilité de leur site en étant informé de certains événements tels qu’un pic de fréquentation ou le fait qu’il n’y ait pas de trafic, par exemple. 

 

Cela se concrétise par le dépôt et la lecture des cookies sur le navigateur de l’utilisateur. Ensuite, Google Analytics attribue un identifiant unique aux données de cet utilisateur, provenant d’une ou plusieurs sessions lancées, à partir d’un ou plusieurs appareils. 

 

Les informations collectées sont ainsi transmises aux serveurs de Google Analytics, qui sont hébergées aux États-Unis. 

​

L’utilisation de l’analyse de données et la jurisprudence

 

Le gestionnaire de site web concerné par la mise en demeure de la Cnil avait intégré Google Analytics à des fins de mesure de son audience et de performance de ses campagnes médias.

 

La Cnil a considéré que les données collectées puis transférées, dans le cadre de Google Analytics, constituent des données à caractère personnel. 

 

Elle a, en outre, tiré les conséquences de l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne (ci-après « CJUE ») le 16 juillet 2020. 

 

Dans cet arrêt, la CJUE a invalidé la décision de la Commission européenne du 12 juillet 2016 relative à l’adéquation de la protection assurée par l’accord du « Privacy Shield » ou « bouclier de protection des données ». 

 

Le transfert de données vers les Etats-Unis ne doit plus avoir comme fondement juridique le « Privacy Shield » mais d’autres garanties appropriées du règlement général de la protection des données (ci-après « RGPD ») telles que les clauses contractuelles types de la Commission européenne (ci-après « CCT ») actualisées le 4 juin 2021. 

 

Confirmé à l’arrêt Schrems II, les CCT, qui organisent les conditions de traitement ou les modalités de transfert de données, doivent garantir un niveau de protection suffisant des données à caractère personnel. Face aux services de renseignements américains, qui peuvent avoir accès sans contrainte à ces données, des mesures de protection supplémentaires doivent s’ajouter aux CCT car elles ne suffisent pas pour assurer sécurité et confidentialité des données. 

 

La problématique de Google Analytics

 

La Cnil a considéré que les transferts de données personnelles des internautes européens sans une protection efficace face aux services de renseignements, des Etats-Unis, sont illégaux. 

 

C’est à l’exportateur des données, Google Analytics, de garantir que l’importateur de celles-ci, les Etats-Unis, peut assurer l’obligation d’information qui lui incombe. Son rôle, en tant que responsable de traitement, ou sous-traitant, est d’informer les utilisateurs concernés du traitement de leurs données. 

 

Les garanties encadrant le transfert de données, soulevé par le gestionnaire de site web, n’offrent pas un niveau de protection suffisant au regard du RGPD et ne sont donc pas valables. 

 

La mise en demeure 

 

Le transfert des données à caractère personnel des visiteurs web dans ces conditions compromet leur protection. Le gestionnaire de site a été mis en demeure de mettre en conformité son traitement des données et de le justifier dans un délai d’un mois auprès de la Cnil. 

 

Le gestionnaire de site doit, si nécessaire, cesser d’avoir recours à la version actuelle de Google Analytics ou utiliser un outil n’entrainant pas de transfert hors de l’union Européenne. L’utilisation d’un autre outil est recommandée par la commission. 

 

La Cnil rappelle également que l’utilisation des outils de mesure et d’analyse d’audience doivent nécessairement servir à produire des données statistiques anonymes.

 

D’autres procédures de mise en demeure ont également été engagées par la Cnil à l’encontre de gestionnaires de sites utilisant Google Analytics. L’enquête de la commission s’intéresse également à tous les autres outils qui donne lieu au transfert des données vers les Etats-Unis, la Cnil précise que «  des mesures correctrices à ce sujet pourraient être adoptées prochainement. »

 

La Cnil établit une liste de solutions pour ces outils de mesure d’audience.