• Google Analytics et la CNIL : le décryptage de Converteo

    • Google Analytics et la CNIL : le décryptage de Converteo

    Article Other Analytics Privacy 24.02.2022
    Par Julien Ribourt , Pierre-Eric Beneteau et Raphaël Fétique

     

    Près de deux semaines se sont écoulées depuis la publication de la décision de la CNIL de mettre en demeure un gestionnaire de site web français pour son utilisation de Google Analytics (GA), et de lui accorder quatre semaines pour se mettre en conformité. 

    Il nous semble important de porter à la connaissance du plus grand nombre des éléments de compréhension du sujet, notamment au vu des nombreuses communications plus ou moins factuelles et précises que nous avons pu voir passer ces derniers jours.

    Si nous ne partageons que maintenant notre interprétation du sujet et de ses enjeux, c’est parce que la complexité de la situation impose une analyse sérieuse étayée par un maximum d’informations. Ces dernières sont notamment issues de nombreuses concertations avec nos clients métiers et DPO, les équipes françaises de Google Analytics, notre propre DPO ainsi qu’avec la CNIL qui a accepté de répondre à nos questions la semaine dernière suite à la publication de la mise en demeure.

    Précisons enfin que Converteo n’est pas un cabinet expert du droit et que notre vision demeure celle d’un cabinet de conseil expert des problématiques liées à la donnée, avec les difficultés et libertés d’interprétation que cela implique et autorise.

     

    Que reproche-t-on à l’utilisation de Google Analytics ?

    La CNIL fonde sa décision sur le fait que le gestionnaire de site web (responsable de traitement au sens du RGPD et donc cible de la mise en demeure), en utilisant Google Analytics, partage des données à caractère personnel avec Google (fournisseur technologique sous-traitant au sens du RGPD). Or il s’agit d’une société incorporée aux Etats-Unis pouvant de facto faire l’objet d’une injonction de la justice américaine afin de mettre la donnée en question à la disposition des services de renseignement américains (en vertu du Patriot Act et du CLOUD Act). 

    Ce n’est donc pas tant le transfert physique de la donnée aux Etats-Unis qui pose un problème ici que le transfert à une société américaine qui opère les traitements et peut accéder à la donnée à caractère personnel.

     

    Quelles sont les données à caractère personnel concernées ?

    Il s’agit a minima de l’identifiant cookie de GA (généré de manière aléatoire par le service lors de la première visite d’un internaute et persistant au niveau de son navigateur jusqu’à expiration ou purge) et l’adresse IP (qui peut faire l’objet d’une anonymisation a posteriori, le premier appel au service GA ne pouvant pas la masquer). Peuvent venir s’ajouter tous les identifiants propres au site en question qui feraient partie du plan de collecte (ID CRM, ID de transaction, etc.).

    En somme, l’ensemble des identifiants persistants dans la durée et rattachés à un individu, pouvant permettre de l’isoler directement ou par croisement.

     

    En quoi n’est-ce pas conforme au RGPD selon la CNIL ?

    Le RGPD prévoit un cadre afin d’opérer les transferts en dehors de l’UE de données à caractère personnel qui concernent des citoyens européens. 

    Ce cadre est précisé au sein du chapitre 5 du RGPD (articles 44 et suivants) que la CNIL a repris sur son site. Dans sa décision, la CNIL a estimé qu’aucun de ces cas de figure prévus n’était valable :

    • Il n’y a plus de “régime d’adéquation” entre les US et l’UE en place (le “Privacy Shield” ayant été invalidé en 2020).
    • Google emploie des Clauses Contractuelles Types dans ses contrats et a mis en place un certain nombre de mesures afin d’apporter des “garanties appropriées” pour assurer un certain niveau de protection des données personnelles. La CNIL a jugé que ces mesures et règles d’entreprise n’étaient pas suffisantes pour garantir que les agences de renseignement américaines ne puissent pas mettre la main sur la donnée en question. GA ayant besoin d’accéder aux identifiants pour produire un certain nombre d’indicateurs clés de la solution. Aussi, le citoyen européen ne peut pas faire valoir de droits opposables et de voies de recours effectives auprès de la justice américaine.
    • La CNIL estime que le transfert de données ne correspond pas non plus aux autres cas de dérogation prévus (art. 49), notamment
      • Le consentement au transfert que l’on pourrait obtenir pour l’opérer ne semble pas être applicable. La CNIL estime en effet dans son interprétation du RGPD qu’un transfert vers les US ne peut être fondé sur le consentement que dans des situations exceptionnelles, ce qui exclut les transferts répétés ou habituels qu’implique l’utilisation de GA. 
      • Il n’y a pas de contrat entre Google et le citoyen européen pour la réalisation du service GA.

     

    Est-ce que tous les sites qui utilisent GA sont menacés d’une mise en demeure future ?

    Telle que nous la comprenons, la décision de la CNIL n’a pas valeur de loi : la CNIL n’est pas un législateur lorsqu’elle rend une décision sur un cas particulier, ce qui est le cas ici.

    Il faut aussi avoir à l’esprit que la CNIL ne s’est pas auto-saisie dans le cadre de ce contrôle, mais qu’elle a agi à la suite d’une plainte de l’association NOYB.

    Cela dit, nous faisons face à un mouvement a priori coordonné des CNIL au niveau européen. La probabilité d’une multiplication des plaintes dans un futur plus ou moins proche est donc assez forte.

    En tout état de cause et pour le moment, tant qu’il n’y a pas de mise en demeure, il n’y a pas de risque immédiat. Mais les mêmes causes produisant les mêmes effets, la décision de la CNIL pourra faire jurisprudence et être déclinée aux prochains sites utilisant Google Analytics dans les mêmes conditions.

     

    Qu’en est-il des autres solutions ?

    Par voie d’extrapolation des éléments reprochés à GA, il nous est permis de penser que toute solution SaaS américaine (ou contrôlée par une société incorporée aux US) qui traite des identifiants persistants (cookies entre autres) attachés directement ou indirectement à des citoyens européens, en dehors de toute relation contractuelle, fait l’objet de la même menace. 

    Cela cible donc a priori une grande partie du monde du martech (CRM, Marketing automation, DMP, CDP, …) et de l’adtech (adserving, régies publicitaires, acteurs du RTB, …) américain.

    Que les données soient traitées en Europe ou aux Etats-Unis ne change rien !

     

    Et les données qui sont hébergées sur un cloud provider américain en Europe ?

    Le sujet ici est la capacité du fournisseur de services Cloud à accéder à la donnée personnelle “en clair”. 

    Par conséquent, si les données sont stockées et traitées au sein d’un cloud de telle sorte que le fournisseur ne puisse pas accéder à la donnée, cela ne semble pas poser de problème : il s’agit de chiffrer l’ensemble des données sans que le fournisseur n’ait accès à la clé de déchiffrement. 

     

    Quelles sont les voies de résolutions envisageables ?

    En ce qui concerne les possibilités de continuer à utiliser GA dans un futur plus ou moins proche, elles sont au nombre de trois selon nous :

    1. Les Etats-Unis et l’Union Européenne négocient avec succès un nouvel accord d’adéquation. Cela dépend d’un agenda politique que nous ne maîtrisons pas, dont l’issue ne devrait pas avoir lieu avant plusieurs mois.
      • Ceci dit, au vu de l’ampleur des implications envisagées plus haut, nous estimons souhaitable qu’à terme un nouvel accord soit mis en place.
    2. La décision de la CNIL est remise en cause par le Conseil d’Etat à l’occasion d’un recours d’un acteur (ou groupe d’acteurs) mis en demeure ou sanctionné(s). 
      • Rappelons que cette décision de la CNIL est le fruit de sa propre lecture et analyse du RGPD. Notamment vis-à-vis des cas de dérogation présentés plus haut, dont celui de la possibilité de fonder le transfert de données personnelles sur le consentement, après avoir été informé des risques liés à ce transfert. Il n’est pas impossible qu’un acteur mis en demeure souhaite faire valoir une lecture alternative du texte et fasse un recours auprès du Conseil d’Etat qui pourrait remettre en cause le décision de la CNIL et donner gain de cause aux utilisateurs de GA.
    3. Google apporte des “garanties appropriées” jugées satisfaisantes et juridiquement contraignantes. Cela impliquerait de ne plus faire transiter d’identifiants persistants rattachés aux personnes en clair. Autrement dit, diminuer sensiblement les fonctionnalités de la solution et/ou la mettre à disposition de manière complètement chiffrée pour Google en ne laissant la clé de déchiffrement qu’aux clients utilisateurs de l’outil. 
      • Cela semble très contraignant pour Google en termes d’évolution du produit. Il pourrait être envisageable de paramétrer GA de manière à “appauvrir” les identifiants envoyés et leur persistance de telle sorte qu’on ne traite que des identifiants de session. Cela reviendrait à revenir à une approche “session-based” de la webanalyse… Nous ne savons pas à date si cette solution serait acceptable aux yeux de la CNIL.

     

    Que faire pour les utilisateurs de Google Analytics ?

    “Débrancher” GA tout de suite semble précipité et il est essentiel de prendre le temps de construire une stratégie pérenne qui doit être spécifique à chaque acteur, adaptée à son niveau d’ambition autour de la brique “web/digital analytics” et son appréciation du risque.

    Des solutions alternatives pouvant être utilisées de manière conforme au RGPD sur le plan des transferts de données existent ; nous sommes aussi persuadés que d’autres vont émerger ou se renforcer rapidement. D’ailleurs, ces solutions ne sont pas nécessairement celles validées par la CNIL comme pouvant être exemptées de consentement, qui est un sujet différent du transfert et de l’accès aux données par les agences de renseignement américaines. Une solution n’est pas conforme au RGPD, c’est son implémentation et son usage qui le sont !

    Une des questions qui se posent est notamment : doit-on penser une stratégie en deux temps afin de gérer le risque court terme tout en pariant sur un futur où GA sera à nouveau “sans risque” ?

    Il n’y a malheureusement pas de scénario alternatif évident et valable pour toutes les entreprises ; nous conseillons nos clients métiers avec leur DPO et avocats dans leurs stratégies et nous sommes à votre disposition pour échanger avec vous sur votre cas spécifique.

    Auteurs : 

    Raphaël Fétique – Partner et co-fondateur
    Julien Ribourt – Partner en charge de l’expertise analytics
    Pierre-Eric Beneteau – Partner en charge de l’expertise analytics

    Sources : 
    https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
    https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5
    https://www.cnil.fr/fr/presentation-de-larret-de-la-cjue
    https://business.safety.google/adsprocessorterms/sccs/
    https://blog.google/around-the-globe/google-europe/google-analytics-facts/
    https://noyb.eu/en/eu-us-transfers-complaint-overview
    https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience

    Par Julien Ribourt

    Partner Analytics x Digital Products

    Par Pierre-Eric Beneteau

    Partner Analytics & Digital Products

    Par Raphaël Fétique

    Partner et Co-Fondateur

    Contact
    Demande de Formation