Google Analytics reste un sujet brûlant pour les entreprises, mais également pour les autorités de protection des données (APD).

Avec l’arrivée de ces nouvelles décisions et les nouvelles orientations de la CNIL, les entreprises ont encore plus de mal à justifier leur utilisation de Google Analytics et devront probablement bientôt faire face à des amendes. Dans l’article qui suit, nous allons analyser les dernières décisions des APD et résumer les principaux points à retenir pour les entreprises.

Après la décision de l’autorité autrichienne de protection des données (DPA autrichienne) sur l’utilisation de Google Analytics, l’autorité française de protection des données (CNIL ou DPA française) a publié une décision similaire en février, suivie d’une décision plus récente de l’autorité italienne de protection des données (Garante ou DPA italienne) en juin de cette année.

Dans chacune des décisions susmentionnées, l’APD respective a considéré que le transfert pertinent de données à caractère personnel vers les États-Unis lors de l’utilisation de Google Analytics était illégal en vertu du chapitre cinq du Règlement général sur la protection des données (RGPD) sur la base de l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

La CNIL a par ailleurs publié en juin des FAQ sur les mises en demeure qu’elle a adressées à plusieurs organismes en France pour leur demander de mettre leur utilisation de Google Analytics en conformité avec le GDPR. Les FAQ énoncent également les exigences relatives à l’utilisation de l’outil d’analyse et incluent la demande de la CNIL à tous les opérateurs de sites web français de s’assurer de leur conformité à cet égard.

Dans leurs communiqués de presse sur les décisions susmentionnées et dans les FAQ, la CNIL et le Garante ont souligné la coordination avec d’autres autorités de protection des données (APD) de l’UE concernant leurs décisions, ce qui indique que leurs conclusions seront probablement suivies par d’autres APD.

Il devient donc clair que les décisions des autorités autrichiennes, françaises et italiennes ne sont pas des cas isolés, mais que les points de vue et les exigences exposés par les autorités de protection des données sont généralement pertinents pour tous les opérateurs de sites web dans l’Espace économique européen (EEE).

Comment en est-on arrivé à ces décisions ?

Toutes les décisions des APD susmentionnées et les FAQ sont basées sur des plaintes déposées par l’organisation non gouvernementale de Max Schrems, NOYB, qui a déposé des plaintes contre 101 entreprises européennes dans tous les États membres de l’EEE en rapport avec leur transfert présumé de données personnelles à Google et Facebook en violation du GDPR et de l’arrêt Schrems II (article de NOYB).

La décision de la CNIL

La décision française a été rendue à l’encontre d’un opérateur de site internet ayant son siège social en France qui utilisait Google Analytics en relation avec des individus provenant de plusieurs États membres de l’UE. En ce qui concerne le traitement transfrontalier effectué, la CNIL a déterminé qu’elle était l’autorité de contrôle principale et, à ce titre, a soumis son projet de décision aux autres autorités de protection des données concernées, qui ne s’y sont pas opposées.

La CNIL a notamment constaté que les informations collectées par Google Analytics auprès des utilisateurs étaient transmises aux serveurs de Google Analytics hébergés aux Etats-Unis. L’APD française a également indiqué que les conditions contractuelles pertinentes de Google Analytics faisaient référence aux conditions de traitement des données de Google Ads qui incorporaient des clauses contractuelles types (CCS). Elle a également reconnu les mesures juridiques, organisationnelles et techniques supplémentaires fournies par Google concernant un transfert international de données via Google Analytics.

Dans ses FAQ, la CNIL souligne notamment qu’elle a déjà mis en demeure toutes les organisations françaises pour lesquelles l’ONJB avait déposé des plaintes. Les FAQs énoncent également les exigences que la CNIL attend de tous les opérateurs de sites web en France qu’ils respectent lorsqu’ils utilisent Google Analytics.

La décision du Garante

La décision italienne a été rendue contre un opérateur de site web situé en Italie qui utilisait la « version gratuite » de Google Analytics. L’exploitant du site web a conclu les conditions d’utilisation de Google Analytics, en tant que conditions standard de Google, avec Google Ireland Limited. Le traitement des données à caractère personnel concernant l’utilisation de Google Analytics par l’exploitant du site web était régi par les conditions de traitement des données de Google Ads, qui incorporaient des clauses contractuelles types (CCS). L’APD italienne a également reconnu que Google avait établi des mesures supplémentaires pour les transferts internationaux de données.

Le Garante a souligné la connaissance et la compréhension limitées de l’opérateur du site web par rapport aux spécificités du traitement effectué par Google Analytics, notamment en ce qui concerne les transferts de données vers des pays tiers et la mise en œuvre effective des mesures supplémentaires susmentionnées par Google.

Il a également été déterminé que la fonction de Google Analytics qui permet la soi-disant « anonymisation » de l’adresse IP de l’utilisateur en supprimant plusieurs données de l’utilisateur, est un moyen d’améliorer l’efficacité du traitement.