Toute entreprise, quelle que soit son activité, est inévitablement amenée à utiliser des logiciels américains. Pour écrire cet article j’ai moi-même posé mes idées sur Word, les ai transmises via Gmail et les ai stocké sur mon espace iCloud. C’est un fait, pour l’heure, l’Europe est encore dépendante des solutions numériques américaines.

Ces outils présentant les avantages d’être déjà ancrés, pratiques et bien souvent moins chers que leurs alternatives européennes. Or, ces solutions collectent, échangent ou encore stockent des informations sur leurs utilisateurs.

Alors quand l’utilisation d’un outil américain est « interdite » par la CNIL car présentant trop de risques au regard de la protection des données, on est en droit de se demander d’abord pourquoi et ensuite qu’en est-il des autres produits américains ?

C’est le cas de Google Analytics et c’est le sujet de cet article.

En février 2022, la CNIL publie la mise en demeure d’un gestionnaire de site web de ne plus utiliser l’outil Google Analytics [1]. Cette décision avait eu l’effet d’une petite bombe à sa publication du fait de l’utilisation généralisée de la solution sur les sites web.

Pour ceux qui l’ignorent, Google Analytics est un cookie qui, lorsqu’il est paramétré sur un site, collecte un certain nombre d’informations (identifiants uniques, adresses IP, données du navigateur et métadonnées) sur les visiteurs de ce dernier. Il permet notamment de comprendre comment le visiteur interagit avec le site web en affichant quelles pages sont visitées, le temps passé sur le site, le type de navigateur utilisé, et même l’emplacement géographique du visiteur. Ces données collectées sont transférées hors de l’Union Européenne, car les serveurs de Google Analytics sont hébergés aux États-Unis.

La conformité au RGPD de cette solution a été remise en cause par l’association fondée par Max Schrems [2], NOYB, qui soutenait à travers 101 plaintes déposées auprès des autorités européennes notamment que l’utilisation de Google Analytics était illicite. En cause, le fait que les données personnelles transférées n’étaient pas suffisamment protégées au regard de la réglementation américaine plus souple qui n’apportait pas de garanties équivalentes à celles du RGPD. NOYB visait la faculté des renseignements américains à accéder aux données des « services de télécommunication [3] » en vertu du Foreign Intelligence Surveillance Act (FISA) et de l’Executive Order, et ainsi de pouvoir accéder à une masse importante d’informations sur les citoyens européens.

La décision de février 2022 concernant Google Analytics est alors l’occasion pour la CNIL de rappeler le cadre juridique instable des transferts de données vers les États-Unis. Les arrêts de la CJUE « Schrems I » et « Schrems II » ayant invalidé successivement les décisions d’adéquation Safe Harbor en 2015 puis Privacy Shield en 2020. Elle permet également de souligner que le mécanisme des clauses contractuelles types ne constitue pas en l’espèce un moyen suffisant pour assurer un niveau de protection équivalent aux standards européens.

Le Comité Européen de la Protection des Données (CEPD) était par ailleurs déjà venu apporter des éléments de réponse peu de temps après « Schrems II » par ses recommandations 01/2020 [4]. À travers celles-ci, le Comité indiquait que les transferts de données vers les États-Unis sans être interdits devaient impérativement être complétés par des garanties supplémentaires. Etant précisé que ces garanties devaient être des mesures de nature : contractuelles (ou juridiques), techniques et organisationnelles. Ce point s’avère crucial puisque la vocation de ces mesures est d’empêcher un accès illégitime des renseignements américains aux données de citoyens protégés par le RGPD.

C’est donc dans ce contexte juridique et sur l’appréciation de ces mesures contractuelles, techniques et organisationnelles que la CNIL a basé son analyse pour prononcer la décision Google Analytics.

A sa publication, j’avais pu tirer quelques minimes enseignements de cette décision : la différence de conception états-unienne/européenne de la protection des données, la toute-puissance des États-Unis sur l’accès à l’information ou encore l’obligation de passer à une analyse au cas par cas des garanties supplémentaires mises en place pour déterminer si une solution américaine est conforme au RGPD. Néanmoins même après m’être familiarisé avec ce contexte juridique, il s’avérait que cette décision soulevait chez moi plus de questions que de réponses.

En effet à la lumière de toute la jurisprudence sur le sujet, la question de la protection des données aux Etats-Unis était déjà une problématique bien connue.

Qu’il s’agisse des révélations de Snowden à l’affaire Cambridge Analytica ou encore les multiples difficultés soulevées par NOYB, nombreux sont les scandales à avoir vu le jour chez nos voisins américains. Des scandales d’autant plus retentissants qu’ils touchaient directement des citoyens européens. Cette situation n’aurait pu expliquer à elle seule la raison de l’illicéité de Google Analytics.

La localisation des serveurs aux Etats-Unis ne pouvait pas non plus être l’argument central de l’interdiction puisque le Cloud Act confère une compétence extraterritoriale aux renseignements américains. Ces derniers pouvant accéder aux données des filiales dont l’entreprise mère est basée sur le sol américain, ce qui est le cas pour tous les GAFAM [5] et la quasi-totalité des gros acteurs du marché numérique mondial.

Enfin, un raisonnement basé sur l’insuffisance de garanties supplémentaires me laissait également sur ma faim : pourquoi un géant comme Google n’est-il pas inquiété sur les garanties mises en place sur ses autres produits tels que Google Cloud Platform, Google Workspace ou encore Google Chrome, mais faillirait sur Google Analytics.

Je me suis donc rendu à l’évidence que pour avoir des éléments de réponse à mes questions, il fallait se prêter à une analyse plus poussée de la solution en elle-même, de son fonctionnement et de son environnement.

Pourquoi Google Analytics a-t-il été ciblé précisément ?

Tout d’abord, il est important de s’attarder sur la nature de la décision de la CNIL : une mise en demeure de ne plus utiliser Google Analytics. Une sanction peu commune, puisqu’elle entend suspendre purement et simplement l’utilisation en l’état [6] d’un produit sur tout le marché européen. On peut imaginer à l’inverse que la voie classique d’un contrôle chez Google menant à une sanction financière directe sous astreinte aurait pu permettre à la société de suivre les recommandations des autorités tout en rassurant ses utilisateurs sur le fait que les mesures rectificatives avaient été initiées. Ainsi, bien que la voie du contrôle ne soit pas l’objet des plaintes de NOYB, cette façon de procéder révèle d’une intention claire de faire cesser immédiatement la pratique du géant américain. Mais alors pourquoi Google Analytics ?

Une solution qui collecte des données personnelles de façon massive.

Google Analytics est loin d’être une solution marginale sur le marché des outils de mesure d’audience et pour cause, en septembre 2021, 59% des 10 000 sites web les plus consultés au monde avaient paramétré Google Analytics [7] et son utilisation ne fait pas exception en Europe. Une véritable domination sur le marché donc s’expliquant par sa facilité d’accès et sa gratuité dans sa version de base. De cette omniprésence sur les sites web européens, découle une collecte massive de données personnelles.

De plus à la différence d’un produit ou service collectant des données lorsque l’utilisateur s’inscrit en acceptant des conditions générales d’utilisation complétées par une politique de confidentialité, Google Analytics collecte les données du visiteur du seul fait de son accès au site et de son acceptation des cookies.

Or, au moins deux problèmes inhérents aux cookies se posent : encore trop de sites web ne sont pas conformes au RGPD notamment concernant leurs bandeaux de cookies. Ainsi la validité du consentement au cookie Google Analytics ne peut être rapportée sauf à analyser un à un les sites web qui l’ont paramétré. De plus, tous les sites web ne permettent pas de refuser les cookies aussi simplement que de les accepter puisque la pratique du cookie wall [8] pour les sites de presse a été jugée conforme par le Conseil d’État qui s’était alors prononcé contre l’avis de la CNIL.

On peut donc légitimement penser que la solution en elle-même était problématique du fait de sa domination sur le marché et du mode de recueil de consentement lié à la technologie du cookie. Des éléments qui, mis en commun, mènent à un transfert illicite massif de données personnelles vers les Etats-Unis que la CNIL ne pouvait plus ignorer.

Un secteur des cookies et traceurs en pleine mutation.

Dans un contexte juridique où la prise en considération de la protection des données dans les activités numériques tend à grandir et à couvrir un maximum de domaines d’activité, on ne peut échapper à la dualité acteurs économiques et autorités de protection des données. D’un côté, les acteurs développent des technologies toujours plus innovantes pour collecter des données et de l’autre les autorités tentent de faire le nécessaire pour adapter les règles à ces nouvelles pratiques pour protéger l’intérêt général.

De cette dualité, découle une forte mutation du secteur des cookies et traceurs à l’initiative des autorités et des acteurs eux-mêmes.

En effet, la problématique générale des cookies est rapidement devenue un enjeu prioritaire pour les autorités de protection des données. Cette technologie, qui constitue un formidable outil pour améliorer l’expérience utilisateur (fonctionnalités, ergonomie, intégration de contenu), permet également de collecter un grand nombre d’informations à d’autres fins comme de la publicité personnalisée ou encore de l’optimisation de site grâce à des mesures d’audience et des statistiques.

L’utilisation des cookies est donc un sujet qui a rapidement été pris au sérieux par la CNIL qui l’avait inscrit dans son plan d’action [9] dès 2019-2020. Pouvant en attester : les nombreuses sanctions qu’elle a pu prononcer ces dernières années sur le sujet (notamment à l’encontre des GAFAM : Amazon, Google, Facebook ou encore Microsoft plus récemment) et sa stratégie de contenu très riche pour sensibiliser en la matière (recommandation, lignes directrices ou autre FAQ).

La décision de la CNIL n’était donc pas prononcée dans un domaine nouveau, et s’inscrivait dans une politique globale stricte d’encadrement de la pratique des cookies et autres traceurs par l’action coordonnée des autorités de protection des données européennes.

Le mouvement est également à signaler côté acteurs, ces derniers devant s’adapter à de nouvelles règles et à une prise de conscience générale sur le sujet de la protection des données personnelles.

En ce sens certaines technologies semblent condamnées par nature du fait de leur fonctionnement trop intrusif pour les personnes concernées. Google Analytics en est un exemple : de sa qualité de cookie tiers [10], découle une technologie dont la portée pourrait diminuer sinon disparaître totalement dans les années à venir. En cause les nouvelles pratiques des acteurs du marché numérique eux-mêmes qui prévoient par défaut un blocage de ces cookies au sein des navigateurs. Ainsi Apple lançait l’IPT (Intelligence Prevention Tracking), un programme anti-tracking pour bloquer les cookies tiers au sein de son navigateur Safari en 2017, Firefox bloque les cookies tiers par défaut depuis 2018 ou même Google qui prévoit la possibilité de bloquer les cookies tiers sur son navigateur Chrome au deuxième semestre 2024.

En outre, l’évolution des pratiques en matière de cookies n’est pas seulement le monopole des gros acteurs américains puisque les représentants français sont également forces de proposition. De nombreuses initiatives voient ainsi le jour : des regroupements d’acteurs, des consultations publiques, des enquêtes ou encore du contenu détaillant les nouvelles stratégies sont initiés par ces entreprises soucieuses de revenir à des pratiques plus responsables. On peut citer par exemple : le retour au premier plan du cookie first party comme l’une des orientations prises dans ce changement si l’on en croit le dernier guide publié par l’Alliance digitale [11] (association de l’IAB France et de Mobile Marketing Association fédérant les acteurs du marketing digital).

Google Analytics et les autres solutions américaines.

Certes, l’interdiction d’utiliser Google Analytics n’est pas absolue [12] et un grand nombre d’organisations continuent encore à l’utiliser à leurs risques et périls cependant, cette décision a eu un impact fort. Elle a pour la première fois mis un GAFAM devant le fait que son outil est intrinsèquement en contradiction avec la réglementation, l’obligeant à changer son produit ou à imposer des mesures très contraignantes à ses utilisateurs. Cette décision aura donc fortement fait évoluer si ce n’est les pratiques, au moins les consciences.

Quant à savoir si les autorités de contrôle ont fait de Google Analytics le « bouc émissaire » des solutions américaines : même s’il semble que sur certains points le produit ait servi d’exemple sur une problématique bien plus systémique et inhérente à la différence d’approche européenne-américaine de la protection des données. Les reproches invoqués pour justifier de son interdiction pouvant globalement être faits à la totalité des services de télécommunication américains (Microsoft, Amazon, Apple, Meta, etc.). Les acteurs économiques et politiques ne peuvent plus nier qu’à la lumière de toutes les raisons présentées dans cet article Google Analytics est une solution posant de sérieux problèmes quant à la quantité de données personnelles d’européens mis à la disposition de services de renseignements américains.

Par ailleurs, sans s’adonner à des projections trop hasardeuses, il semble que Google Analytics ne soit pas le seul outil d’un GAFAM que la CNIL pourrait restreindre sur les mêmes motifs. C’est en tout cas le raisonnement adopté par l’autorité de protection des données autrichienne qui, dans une décision rendue le 6 mars 2023 [13], affirme que les outils de tracking Facebook [14] (désormais Meta) présentent les mêmes risques que Google Analytics en matière de protection des données et qu’à ce titre des mesures doivent être prises pour tout organisme qui souhaiterait les utiliser. Une position potentiellement annonciatrice d’un mouvement similaire de l’autorité française quand on sait que la décision rendue sur Google Analytics se basait sur une analyse faite en coopération avec les autres autorités de protection des données européennes et que la même autorité autrichienne était la première autorité à s’être prononcée sur l’utilisation de Google Analytics [15]. Une affaire à suivre.

Finalement, la position de la CNIL à l’encontre de Google Analytics peut être vue comme l’une des premières décisions aux conséquences réelles basée exclusivement sur la fragilité du cadre des transferts de données transatlantiques. Elle s’inscrit dans une démarche plus large de l’Union européenne désireuse de trouver des solutions pour résoudre entièrement la problématique de l’accès des services de renseignements américains aux données des européens [16].

Cependant la CNIL et ses homologues européens ne pouvant être sur tous les fronts, l’utilisation de solutions américaines touchant à tous les secteurs d’activité, la stratégie adoptée est nécessairement sectorielle et vise en priorité les outils présentant le plus de risques sur la vie privée des européens.

Ainsi, sans trouver de solution miracle, la décision Google Analytics reste une grande sanction à l’encontre d’un GAFAM dans un domaine où les pratiques deviennent plus responsables et où les gros acteurs sont contraints de changer leurs habitudes pour se conformer aux nouveaux standards de protection des données.

Xanthin Durand, Apprenti juriste, Protection des données personnelles ESMD - Ecole Supérieure des Métiers du Droit