Communication de la CNIL sur son site internet
La question des transferts de données personnelles en dehors de l’Union Européenne, et en particulier aux Etats-Unis, occupe le devant de la scène depuis l’arrêt « Schrems II » rendu le 16 juillet 2020 par la Cour de justice de l’Union Européenne (CJUE). La remise en cause de l’utilisation de Google Analytics par plusieurs autorités de protection des données européennes, dont la CNIL, en est l’une des conséquences les plus notoires à ce jour.
Pour rappel, dans sa décision « Schrems II » la CJUE a invalidé l’accord « Privacy Shield » permettant le transfert de données personnelles entre l’UE et les Etats-Unis. Surtout, elle posé des conditions supplémentaires à la licéité des transferts vers tous pays tiers non reconnus comme offrant un niveau de protection « adéquat » par la Commission Européenne, y compris lorsque ces transferts sont déjà encadrés par un accord de transfert reprenant les Clauses Types de la Commission Européenne. La CJUE a en effet mis en avant le risque que les autorités et services de renseignement étrangers – et en particulier américains – accèdent aux données personnelles transférées si des mesures organisationnelles et techniques spécifiques n’étaient pas mises en œuvre pour l’éviter. L’arrêt « Schrems II » concernait les transferts de données effectués par Facebook, mais la portée de la solution retenue est bien évidemment plus large puisqu’elle impacte tout transfert de données vers un pays tiers à l’UE ne faisant pas l’objet d’une décision d’adéquation.
A la suite de cet arrêt, l’association militante NOYB a notamment déposé plus de 100 réclamations auprès des autorités de protection des données des différents Etats-Membres de l’UE, arguant que l’utilisation des cookies Google Analytics par les éditeurs de site internet implique un transfert illicite de données personnelles vers les Etats-Unis.
A ce jour, ces réclamations ont abouti à deux décisions notables : (i) une décision du 22 décembre 2021 de l’autorité de protection des données autrichienne à l’encontre de l’éditeur d’un portail d’information médicale ; et (ii) une décision du 5 janvier 2022 du Contrôleur Européen de la Protection des Données à l’encontre d’un site édité par le Parlement européen. Dans ces deux décisions, les organismes de contrôle ont jugé que l’encadrement des transferts aux Etats-Unis des données collectées via Google Analytics n’était pas conforme aux principes dégagés par l’arrêt « Schrems II ». En effet, même si Google avait bien adopté des mesures supplémentaires pour encadrer les transferts, celles-ci ont été jugées insuffisantes pour exclure toute possibilité d’accès des services de renseignement américains aux données transférées.
Dans ce contexte, la CNIL vient d’annoncer avoir mis en demeure un éditeur de site internet utilisant Google Analytics. L’autorité française est arrivée aux mêmes conclusions que ses homologues et impose en l’espèce à l’éditeur de se mettre en conformité « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. »
Cette vague de décisions devrait continuer à se dérouler dans les prochains mois. Sur cette question, les autorités européennes agissent en coopération et devraient donc toutes aboutir aux mêmes conclusions. En France, la CNIL a d’ores et déjà annoncé avoir engagé d’autres procédures de mise en demeure à l’égard d’éditeurs de sites web utilisant Google Analytics. Google Analytics étant la solution de mesure d’audience web la plus répandue dans le monde, ces décisions vont avoir un fort impact pratique pour les éditeurs de site, qui sont clairement invités par la CNIL à se tourner vers un outil différent. Les effets de la décision « Schrems II » ne s’arrêteront par ailleurs pas à Google Analytics puisque de nombreux autres outils utilisés sur le web impliquent des transferts vers les Etats-Unis. Cette décision soulève donc de réelles difficultés pour les responsables de traitement européens.