Revenons sur le problème de base lié à l’utilisation de Google Analytics qui pose effectivement une série de difficultés que nous avons déjà détaillé dans un article en 2018.
Il y a deux problèmes de fond dans la présente affaire :
- Au regard du RGPD, est-ce que le mécanisme de transfert de données hors de l’Union européenne est valable, tel qu’il a été utilisé par le webmaster en question (I) - cette problématique est en fait à moite adressée par la CNIL
- et surtout, qui est responsable de traitement et est-ce que le RGPD s’applique vraiment (II) - cette question étant totalement occultée dans la communication de la CNIL, alors pourtant qu’elle est tout à fait essentielle.
On verra donc ces deux points.
I - Les données sont-elles vraiment transférées illégalement aux États-Unis ?
Contrairement à une opinion généralement répandue, le RGPD n’interdit pas les transferts de données personnelles hors de l’Union européenne, et il n’est pas du tout obligatoire de traiter des données exclusivement sur le sol Européen (ou en France). Ce qui est important c’est que le niveau de protection du pays en cause soit identique à la protection offerte par le RGPD. Evidemment pour éviter toute discussion sur ce point, le RGPD règlemente précisement cette question au travers des articles 44 et suivants qui détaillent à ce titre une série de mécanismes qui permettent d’opérer valablement le transfert de données hors UE.
La CNIL mentionne le “privacy shield” dans sa communication (A), mais en réalité ce mécanisme est très peu utilisé en raison de ses nombreuses défaillances, et il en existe de nombreux autres qui fonctionnent qui sont régulièrement utilisés par les organisations (B).
A - La CNIL refuse le recourt au privacy shield (que personne n’utilise)
Pour rappel, voici ce que la CNIL mentionne dans sa communication :
“La CNIL (…) a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis (…). Il s’agit notamment de tirer collectivement les conséquences de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés. La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment. Or, la CNIL a constaté que ce n’était pas le cas”
La CNIL mentionne à juste titre le mécanisme du privacy shield, mais elle “oublie” toutefois l’essentiel : en gros plus personne n’utilise ce mécanisme depuis fort longtemps, l’essentiel des transfert ayant recourt à d’autres mécanismes, en particulier les clauses contractuelles types.
B - La CNIL “oublie” les clauses contractuelles types (utilisables en un clic avec Google Analytics)
La réalité est que plus personne aujourd’hui n’utilise le privacy shield pour transférer des données personnelles hors de l’UE. C’est un mécanisme problématique, défaillant et obsolète, qui avait pour précurseur le “Safe Harbour” qui avait déjà été invalidé, et qui a été progressivement abandonné par les entreprises dès avant l’entrée en vigueur du RGPD (dès 2015) voir les détails de son invalidation par la CJUE.
Aujourd’hui les organisations utilisent principalement les clauses contractuelles types pour transférer des données personnelles hors de l’UE. Ce sont des clauses édictées par la Commission européenne que l’on intégre dans ses contrats avec par exemple ses sous-traitants, lorsque ceux-ci se trouvent hors de l’UE. Ces clauses sont expressément prévues par l’art. 46 du RGPD, et elles ont été mises à jour en 2021. Voir le détail sur le site de la CNIL.
Et voici le détail de l’article 46 qui prévoit expressément cette possibilité :
- En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives (…)
- Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par (…) d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
Or Google Analytics offre précisément la possibilité d’utiliser des clauses contractuelles types, ce que la communication de la CNIL omet évidemment de préciser. Voici l’article dans la documentation de Google qui explique comment accepter les clauses types de protection :
Voici à quoi ressemble l’acceptation de ces clauses contractuelles types directement dans Google Analytics :
Ces clauses de protection des données renvoient directement aux clauses contractuelles de la Commission européenne et s’appliquent au contrat conclu pour la mise en œuvre de Google Analytics que l’on trouve détaillé ici.
Il est intéressant de voir que la CNIL elle-même rappelle que les clauses contractuelles types peuvent parfaitement être utilisées comme mécanisme de transfert y compris pour les États-Unis :
les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.
La CNIL mentionne que les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, ce qui est vrai. On peut toutefois imaginer que l’on puisse utiliser des mécanismes prévus par Google Analytics directement, comme Anonymize IP. En effet, Google a mis en place une option qui permet d’éviter de traiter l’adresse IP dans Google Analytics, ce qui réduit substantiellement l’étendue de la collecte de données :
Cette précaution est intéressante à ce titre, toutefois, il est difficile de déterminer exactement ce qui est fait des données côté Google, à défaut de maîtrise de l’architecture du traitement. Cela nous amène à une seconde question essentielle : en réalité, qui est responsable du traitement et surtout, est-ce qu’un webmaster utilisant Google Analytics met vraiment en place un traitement de données personnelles ?
II - Le webmaster est-il vraiment responsable du traitement ?
Deux questions sont savamment masquées dans la communication de la CNIL : en quoi l’utilisation de Google Analytics relève vraiment du RGPD (A). Et est-ce que ce n’est pas en réalité Google qui est responsable du traitement (B).
A - Dans la majorité des cas les webmasters n’ont pas à leur disposition de données permettant d’identifier des personnes
La première question est de déterminer si l’usage de Google analytics va générer un traitement de données personnelles, car c’est ce qui va générer l’application du RGPD. En d’autres termes, la quesiton est de savoir si un webmaster peut identifier une personne physique grâce à Analytics.
Nous avons deux cas - en fait qui sont plutôt rares - dans lesquels on peut répondre indiscutablement que oui Google Analytics va générer l’application du RGPD :
- si le webmaster dispose d’URL contenant des données personnelles (ex : www.site.fr/jean-dupont) - ces données seront alors transmises à Google, et,
- second cas, si le webmaster transmet volontairement des données personnelles à Google analytics (ex : le webmaster envoie un userId dans les évènements - comme dans un cas ou un achat a été effectué).
Toutefois, si ces deux cas sont clairs, et vont rendre le gestionnaire du site web responsable du traitement, ce n’est toutefois pas le cas d’usage de la majorité des webmasters qui utilisent Analytics pour disposer de statistiques agrégées (nombre de visites par jour/mois…).
Et, contrairement à ce qu’affirme la CNIL, pour la majorité des webmasters, il n’est pas possible au moyens de données agrégées d’identifier une personne visitant un site web. Dès lors, à défaut de pouvoir identifier une personne, le RGPD ne trouvera pas à s’appliquer.
Toutefois les responsabilités ne s’arrêtent pas là.
B - Google est responsable de traitement pour Google Analytics
Pour autant, si un webmaster n’a pas la disposition de données personnelles des utilisateurs d’un site web, il n’en est pas de même pour Google qui lui va opérer le traitement de certaines données personnelles, dont l’adresse IP qui va forcément dans ce cas d’espèce, générer l’application du RGPD.
Et il y a ici une véritable question que la CNIL a omis dans sa communication : à savoir quelle est l’étendue de la responsabilité de Google, qu’est-ce que Google fait des données collectées, et en particulier, sont-elles réutilisées pour des besoins propres ?
Il y a ici un véritable sujet que de déterminer qui reste dans l’ombre, pour le moment.
Conclusion : pourquoi la communication de la CNIL est problématique
La communication est problématique pour de nombreuses raisons : d’un point de vue technique, de nombreuses entreprises seront effrayées par la communication de la CNIL et vont se ruer vers des solutions gratuites auto-hébergées, sans comprendre que ces solutions nécessitent des mises à jour régulières et une maintenance réelle ; à défaut de mettre en place la maintenance applicative nécessaire, ce type de solution va rapidement se révéler plein de failles de sécurité.
Des logiciels libres similaires à Google analytics tels que Matamo, nécessitent l’installation de dizaines de packages pour fonctionner correctement, ce qui va générer un nombre important de failles de sécurité qu’il va falloir suivre dans le temps. À défaut d’être mis à jour dans les temps, ces logiciels vont en réalité offrir à des pirates informatiques de belles occasions de déployer des attaques telles que randsomewares. En termes clairs et simples, la communication de la CNIL aujourd’hui, va engendrer des centaines de randsomwares sur systèmes d’information d’hôpitaux, d’administration publique, de petites entreprises, dans les mois à venir.
On semble assister ici à une dérive assez malsaine. La CNIL, qui à l’origine était une autorité administrative indépendante, semble s’immiscer de plus en plus régulièrement dans un jeu politique pour devenir en réalité un outil de taxation et de sanction des GAFA. Nous avions en 1978 un gendarme de la protection des données qui a été créé pour protéger les personnes physiques des risques liés au traitement informatique de leurs données. Nous avons aujourd’hui une autorité qui sert à taxer les opposants politiques du moment (aujourd’hui les GAFA, et demain ?). Ce n’est pas un grand progrès.
