A la une

Les cookies Google Analytics dans le viseur de la CNIL

- A la une

Google Analytics

La CNIL annonce avoir mis en demeure le gestionnaire d’un site web de cesser d’utiliser la famille de cookies Google Analytics, permettant d’obtenir des statistiques de fréquentation de sites internet, dans un délai d’un mois.

Résumé :

En juillet 2020, la Cour de Justice de l’Union européenne annulait le Privacy Shield, accord qui permettait le transfert de données personnelles de l’Union européenne vers les États-Unis. La motivation principale de cette décision, connue sous le nom de Schrems II, était que l’existence de programmes de surveillance des autorités américaines leur permettant d’accéder aux données de ressortissants européens n’était pas compatible avec le niveau élevé de protection de la vie privée résultant du RGPD. Depuis, de tels transferts sont toujours possibles, sous réserve que l’exportateur de données adoptent des garanties appropriées pour les préserver.

Si la CNIL relève dans son communiqué que Google a adopté des mesures complémentaires pour accompagner le transfert des données personnelles obtenues via les cookies Analytics, l’autorité considère que ces mesures « ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données ». Elle met en conséquence en demeure l’exploitant du site internet concerné de remédier à cette violation « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE ».

En pratique, le destinataire de la mise en demeure n’a d’autre choix que de cesser d’utiliser les cookies Google Analytics.

Impacts :

La CNIL précise dans son communiqué qu’il ne s’agit pas d’une position isolée, dans la mesure où :

  • d’autres mises en demeure ont été adressées par l’autorité française à des exploitants de sites internet utilisant Google Analytics ;
  • cette démarche est menée « en coopération avec ses homologues européens ».

Ce dernier point rejoint la décision du 13 janvier dernier de l’autorité autrichienne de la protection des données (la « Datenschutzbehörde »), qui a émis des réserves sur la conformité des transferts de données personnelles vers les États-Unis permis par les cookies Google Analytics, et un communiqué du même jour de l’autorité néerlandaise de la protection des données (la « Autoriteit Persoonsgegevens »), qui a alerté sur la possible interdiction à terme de ces cookies.

Si cette position venait à être confirmée, les impacts seraient considérables pour les acteurs de l’internet :

  • d’abord, la quasi-totalité des exploitants de sites internet, dont les boutiques en ligne, ont recours aux cookies Google Analytics, qui sont parmi les plus populaires ;
  • ensuite, les griefs des autorités portés à l’encontre des cookies Google Analytics s’appliquent à de très nombreuses autres technologies de suivi fournies par des éditeurs transatlantiques ;
  • à date, les acteurs européens de la tech ne sont pas en mesure de proposer des alternatives suffisamment abouties à l’ensemble des produits numériques américains.

La solution la plus immédiate serait que les principaux éditeurs américains cessent de transférer des données personnelles de l’Union européenne vers les États-Unis. Cependant, une telle solution pouvant s’avérer paralysante pour certaines activités, il est urgent que les autorités américaines et européennes s’accordent à trouver un cadre légal de substitution au Privacy Shield, annulé il y a désormais plus d’un an, conforme au haut niveau de protection de la vie privée de la législation européenne.

Incidemment, l’analyse de la CNIL ainsi que celle de ses homologues autrichien et néerlandais souligne les limites des nouvelles Clauses contractuelles types, mises à jour le 4 juin dernier par la Commission européenne pour tirer les enseignements de l’arrêt Schrems II, qui paraissent avoir manqué leur objectif.

.