En ce début d’année 2022, l’outil se trouve au cœur de l’actualité pour manquement au RGPD dans le cadre du transfert de données vers les Etats-Unis.
Pour mémoire, en juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield garantissant la libre circulation des données entre l’Union européenne et les Etats-Unis par l’arrêt dit « Schrems II ».
Cette invalidation est la conséquence :
- de l’absence de décision d’adéquation de la Commission européenne établissant que les Etats-Unis assurent un niveau de protection adéquat des données à caractère personnel,
- de la présence au sein du corpus juridique américain de lois telles que le Cloud Act et/ou du Foreign Intelligence Surveillance Act (FISA) permettant aux services de renseignement américains d’accéder aux données personnelles transférées aux États-Unis.
Bien que les conditions générales de Google Analytics précisent qu’il est interdit d’ajouter quelque donnée personnelle que ce soit, cette stipulation n’est pas en mesure d’écarter l’application du RGPD. En effet, une requête web, telle qu’une visite d’un site internet va de facto engendrer le traitement de l’adresse IP du visiteur.
Pour rappel, la Cour cassation a très clairement consacré en 2016 que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel ».
C’est ainsi, qu’en janvier 2022, l’European Data Protection Supervisor (EDPS) et l’homologue autrichien de la CNIL (la DSB) ont considéré le transfert de données vers les Etats-Unis via l’outil Google Analytics comme étant illégal en raison de l’absence de garantie d’un niveau de protection adéquat.
Début février 2022, c’est au tour de la CNIL de mettre en demeure un gestionnaire de site internet pour transferts illégaux de données personnelles. La CNIL considère que l’outil n’offre pas les garanties nécessaires pour s’assurer du non-accès aux données personnelles des Européens par les services de renseignement américains.

Quelles garanties nécessaires pour utiliser Google Analytics ?

Depuis l’arrêt Shrems II, les transferts de données vers les Etats-Unis restent toujours possibles, à condition toutefois d’être encadrés par :
- des clauses contractuelles types et,
- des mesures complémentaires.
La question qui se pose désormais est donc de savoir quelles sont les mesures complémentaires à mettre en place pour garantir un niveau effectif final de protection en ayant recours à Google Analytics ?
Adoptées en novembre 2020, le CEPD avait publié des recommandations détaillant les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel, prévoyant entre autres, la pseudonymisation ou l’anonymisation.
Il convient donc d’effectuer en amont de tout transfert une analyse de risques sur les mesures complémentaires à mettre en œuvre pour que le niveau de protection des données transférées soit porté au niveau de la norme européenne d’équivalence essentielle.
En réaction aux décisions rendues par les différentes autorités de protection des données personnelles Google a détaillé une liste de mesures supplémentaires pouvant être mises en œuvre pour assurer la conformité du transfert hors UE. Mais là encore, on pourrait s’interroger sur la marge de manœuvre laissée par Google au client pour déterminer les modalités de fourniture du service…
Quoi qu’il en soit, la CNIL recommande désormais de n’utiliser ces outils de mesure d’analyse et d’audience que pour produire des données statistiques anonymes «permettant ainsi une exemption de consentement si le responsable du traitement s’assure qu’il n’y a pas des transfert illégaux ».
Le statu quo actuel pourrait s’appliquer à tous les services de cloud ou de paiement américains traitant les données à caractère personnel d’individus européens. En effet, même dans l’hypothèse où les données seraient stockées en Europe et non transférées vers les Etats-Unis, la situation pourrait être regardée par les autorités de protection comme similaire, dès lors que le Cloud Act et le FISA permettent aux services de renseignement américains d’accéder aux données quelle que soit leur localisation. Autrement dit, ce raisonnement conduirait à conclure à l’impossibilité de recourir aux services d’une société américaine… Dans ce contexte, il est recommandé pour chaque responsable de traitement :
- d’établir une cartographie de leurs prestataires, sous-traitants au sens du RGPD, et les outils utilisés,
- d’effectuer l’audit de leurs contrats avec leurs prestataires, sous-traitants au sens du RGPD,
- d’identifier si parmi eux, certains mettent en œuvre des flux hors UE,
- pour les prestataire qui opèrent des flux hors UE, mettre en place des mécanismes de transfert international adéquats.