1. Mise en demeure publiée par la CNIL
Saisie d’une plainte de l’association NOYB, la CNIL a publié une mise en demeure le 10 février 2022. Cette mise en demeure ne permet pas d’identifier son destinataire mais d’après un communiqué de l’association, la société en cause serait vraisemblablement Decathlon France SA, Auchan E-commerce France ou Sephora SAS.
2. Procédure
NOYB a déposé 101 plaintes dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.
En coopération avec ses homologues européens, la CNIL a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées (notamment pour tirer les conséquences de l’invalidation du Privacy Shield par l'arrêt « Schrems II » de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020 ).1
Ainsi, concernant Google Analytics, l’autorité autrichienne de protection des données avait déjà mis en demeure une société de se mettre en conformité au RGPD dans un délai d’un mois le 22 décembre 2021. Le CEPD (Contrôleur européen de la protection des données) avait également émis une décision à la suite d’une plainte déposée par des membres du Parlement de l’UE en raison de l’utilisation de cet outil par le site du Parlement de l’UE (CEPD, Décision n°2020-1013 du 5 janvier 2022).
3. Argumentaire et solution
Compte tenu d’une part de l’absence de décision d’adéquation pour le transfert de données personnelles vers les Etats-Unis et d’autre part du caractère insuffisant des garanties adoptées par Google, la CNIL considère que le transfert de données des personnes concernées aux Etats-Unis qui résulte de l’utilisation de l’outil Google Analytics revêt un caractère illicite au regard des articles 44 et suivants du RGPD.
Elle a donc mis en demeure la société de se conformer à ces dispositions dans un délai d’un mois, « si nécessaire, en cessant de traiter des données à caractère personnel dans le cadre de la version actuelle de Google Analytics ».
4. Analyse prospective
La CNIL précise avoir engagé d’autres procédures de mises en demeure à l’encontre de gestionnaires de sites utilisant Google Analytics.2 Les autorités de protection des données personnelles française et des autres Etats membres devraient donc vraisemblablement prendre des positions similaires dans un future proche.
Si Google elle-même semble appeler à trouver un accord entre les Etats-Unis et l’Union européenne pour une nouvelle décision d’adéquation3, aucune solution n’existe à ce jour.
Pour l’heure, la CNIL analyse l’utilisation de Google Analytics comme un manquement au sens des dispositions de l’article 83 du RGPD passible d’une amende administrative pouvant atteindre 20 millions d'euros et 4 % du chiffre d'affaires.
Même si la CNIL adresse le plus souvent une mise en demeure préalable avant de prononcer une sanction à l’encontre des sociétés contrevenantes, elle peut le faire directement si elle le souhaite. En effet, par un arrêt du 4 novembre 2020 (n°433311), le Conseil d’Etat a considéré que : « Il résulte clairement [des dispositions de la loi informatique et liberté] que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. » En l’espèce, il ne peut être exclu qu’elle considère que les responsables du traitement ont été suffisamment informés par la couverture médiatique récente concernant Google Analytics et qu’elle décide de sanctionner sans mise en demeure préalable.
Sauf à ce que Google propose prochainement une solution qui recueille l’assentiment de la CNIL, il est donc raisonnable de rechercher une solution alternative à Google Analytics. A cet égard, la CNIL fournit sur son site un guide pour l’utilisation des outils de mesure d’audience ainsi que des solutions conformes au RGPD.
1 https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
2Ibid.
3https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/
CNIL, Google Analytics, RGPD, Données personnelles, NOYB, Mise en demeure, Transferts de données, Pays tiers, Mesure d’audience, Privacy Shield