L’association NOYB a déposé une centaine de réclamations dans l’ensemble des pays membres de l’Union Européenne et de l’Espace Économique Européen relatives aux pratiques adoptées par Google dans le cadre de l’outil Google Analytics.

Par le biais d’un communiqué de presse en date du 10 février 2022, l’autorité administrative indépendante chargée de veiller à la protection des données, la CNIL (Commission Nationale de l’Informatique et des Libertés), a mis en demeure un gestionnaire de site Internet pour son utilisation de Google Analytics.

L’association NOYB [1] a déposé une centaine de réclamations dans l’ensemble des pays membres de l’Union Européenne et de l’Espace Économique Européen relatives aux pratiques adoptées par Google dans le cadre de l’outil Google Analytics.

Par le biais d’un communiqué de presse en date du 10 février 2022, l’autorité administrative indépendante chargée de veiller à la protection des données, la CNIL (Commission Nationale de l’Informatique et des Libertés), a mis en demeure un gestionnaire de site Internet pour son utilisation de Google Analytics.

Qu’est-ce que Google Analytics ?

Google Analytics a pour vocation de permettre aux gestionnaires de sites Internet de mesurer la fréquentation de leur site au travers de statistiques. Outre l’adresse IP qui retiendra tout notre attention ultérieurement, Google Analytics permet entre autres de déterminer la localisation des visiteurs, d’analyser leur comportement de navigation (les pages le plus et le moins visitées, connaître le contenu le plus apprécié et enfin de personnaliser son expérience d’utilisation via le tableau de bord mis à la disposition du gestionnaire du site internet).

Quelle est la non-conformité identifiée par la CNIL ?

Google Analytics attribue un identifiant unique à chaque visiteur, cet identifiant parce qu’il est unique, permet de rendre une personne physique concernée identifiable et correspond donc à la définition d’une donnée à caractère personnelle telle que définie par l’article 4 du RGPD. [2].

En effet, l’utilisation de cette donnée à caractère personnel ne constitue en rien une non-conformité ou une pratique critiquable mais simplement un traitement d’une donnée personnelle.

La non-conformité catégoriquement relevée par la CNIL réside dans le transfert desdites données à caractère personnel vers les États-Unis.

Pour rappel, les États-Unis disposaient il y a encore quelques années du Privacy Shield ayant pour vocation de permettre la circulation des données entre l’Union Européenne et les États-Unis. A la suite de son invalidation prononcée par la CJUE [3] le 16 juillet 2020, les États-Unis sont devenus un pays inadéquat, c’est-à-dire un pays n’offrant pas de garanties suffisantes de protection des données qui soient reconnues par l’Union Européenne.

Ainsi, les transferts réalisés par Google et de fait l’utilisation de Google Analytics, implique l’absence de garanties auprès des internautes que leurs données ne puissent être réexploitées voir accessibles à des tiers. Cette conséquence entre en violation directe avec les articles 44 et suivants du RGPD lesquels énoncent les principes régissant les transferts de données en dehors de l’Union Européenne.

Sans vouloir intervenir dans des considérations informatiques, nous relevons l’absence de mention par la CNIL du détail des paramétrages de l’outil Google Analytics qui étaient réalisés par le gestionnaire visé par la mise en demeure.

L’absence de ces considérations techniques laissent supposer que ces transferts interviennent sans tenir compte de l’utilisation ou des paramétrages de l’outil déterminés par le gestionnaire du site. Cette hypothèse induit le fait que Google ne permet pas le traitement de statistiques ni même de données strictement anonymes, notion à ne pas confondre avec la pseudonymisation, laquelle permet de déchiffrer la donnée si nécessaire.

Il apparaît comme important de relever que les homologues de la CNIL également saisis de la problématique, semblent s’accorder sur la décision rendue. L’autorité chargée de veiller à la protection des données à caractère personnel Autrichienne s’accorde à déclarer les transferts de données de l’UE vers les États-Unis réalisés par Google Analytics comme illégaux.

Quelle suite donnée par Google ?

Action/ Réaction de Google qui lance « Google Analytics 4 » avec la promesse d’une adresse IP entièrement anonymisée, un process global de remplacement des anciennes versions et l’arrêt de traitement des données via Google Analytics (ancienne version) entre juillet et octobre 2023 selon les paramétrages et les versions utilisées.

Maître mot de Google pour promouvoir sa rédemption : « privacy-focused and durable for the future » c’est-à-dire « axé sur le respect de la vie privée et durable pour l’avenir », au regard des sanctions récemment tombées et des nouveaux gestionnaires condamnés pour l’utilisation de Google Analytics, la réaction était importante voir indispensable pour ne pas orienter ses clients vers d’autres outils aux fonctionnalités similaires et recommandés par la CNIL [4].

Comment garantir que Google Analytics dont le cœur de métier réside en l’exploitation de données d’utilisateurs puisse se transformer en un outil compliant dans la mesure où Google Analytics 4 permet de « découvrir des informations sur le parcours du client à travers les plateformes et les appareils » [5]. La poursuite de cette activité afin d’être licite, nécessite un hébergement en Union Européenne pour l’ensemble des données traitées relevant d’utilisateurs Européens. Cette affirmation implique nécessairement la continuité de traitement de données personnelles, de stockage et potentiellement de transferts.

Il s’agit d’une solution potentiellement viable, à moins que cette décision n’impacte directement les États-Unis et sa nouvelle Présidence, qui pourrait reconsidérer le déploiement d’un nouvel accord au bénéfice de ses acteurs économiques, leur permettant le transfert de données de l’UE vers les États-Unis au travers de garanties équivalentes à celles offertes par le RGPD.

Il restera à découvrir l’ensemble des fonctionnalités et paramétrages proposés par Google Analytics 4 pour évaluer la réussite du pari de Google dans sa nouvelle quête de compliance et de conformité avec la règlementation en vigueur en matière de protection des données à caractère personnel.

Myriam Guerbaa Doctorante en Droit privé Juriste spécialisée en Droit de la propriété intellectuelle et des TIC