UTILISATION DE GOOGLE ANALYTICS : ENTRE OMERTA ET PROCRASTINATION
Plus de la moitié en moyenne des sites les plus visités en France
continuent d’utiliser Google Analytics.
Nous déposons plainte contre 26 sites.
Comme annoncé, nous faisons le point sur l'utilisation par les sites français de
Google Analytics, que nous appellerons GA par la suite pour plus de simplicité. Très
vaste sujet, qui mérite que l'on résume les épisodes précédents afin d'en
comprendre le mieux possible les tenants et aboutissants.
Récit d'une pièce en quatre actes (pour le moment).
ACTE I :
Février 2016 : L'Union Européenne et les Etats-Unis émettent un accord
relatif aux transferts et à l'hébergement de données personnelles de ressortissants
de l'Union Européenne vers et aux Etats-Unis. Cet accord porte le nom de "Privacy
Shield". Bien que salué par les parties prenantes politiques, il interroge pour
beaucoup de monde, y compris quelques instances officielles européennes, et
également l'association "la quadrature du net", qui pose un recours contre cet
accord.
Trois ans plus tôt, un certain Max Schrems, alors étudiant autrichien et ferme
défenseur du droit à la vie privée sur Internet, avait déjà déposé plainte auprès de
l'équivalent de la CNIL Irlandaise en 2013, pour un accord similaire concernant cette
fois Facebook : le "Safe Harbor". Il obtint l'invalidation par la Cour de Justice de
l'Union Européenne (CJUE) du "Safe Harbor", et à cette occasion une notoriété
certaine.
Max Schrems est peu convaincu de la solidité du projet "Privacy Shield", et prononce
une allocution en ce sens à l'occasion du Cloud Independance Day en juillet 2016.
En cause (entre autres) : l'arrêt américain "Foreign Intelligence Surveillance Act"
(FISA), article 702, et l'Executive Order 12333, qui, pour résumer, permettent à
quelques administrations américaines (dont CIA et NSA) de saisir dans certaines
situations des données personnelles hébergées aux US de ressortissants non
américains. Cerise sur le gâteau : aucun recours juridique de quelque forme que ce
soit ne peut être posé dans ce contexte, pour le cas de l'EO 12333 dans le cadre
d'activités de la NSA.
Les recours déposés contre le Privacy Shield et les avis d'experts sont ainsi
examinés par la CJUE.
ACTE II :
16 juillet 2020 : La CJUE, après s'être posée la question juridique de savoir
si ces transferts relèvent du Règlement Général sur la Protection des Données
(RGPD) - (et la réponse est oui), invalide le "Privacy Shield", et émet en ce sens un
arrêt dit "Schrems II".
Cet arrêté est d'ores et déjà perçu comme potentiellement lourd de conséquences.
ACTE III :
le 17 août 2020, l'association "None Of Your Business" (NOYB), dont Max
Schrems est président, annonce sur son site avoir déposé pas moins de 101 plaintes
auprès des différentes APD nationales pour transfert illégal de données personnelles
vers les Etats-Unis en vertu de l'arrêt Schrems II. Ces transferts, selon NOYB, sont
opérés selon le cas soit via Facebook Connect, soit via Google Analytics. Certaines
APD, dont la CNIL, les examinent et les estiment recevables. Sur ces 101 plaintes,
trois organismes français sont concernés.
ACTE IV :
10 février 2022 : la CNIL émet publiquement et anonymement une mise
demeure pour un organisme français ; plus précisément, elle demande au
gestionnaire du site concerné "de se conformer au RGPD et, si nécessaire, de ne
plus utiliser cet outil (NDLR : Google Analytics) dans les conditions actuelles". Cette
mise en demeure constitue un signal fort : la CNIL entend se conformer à l'arrêt de la
CJUE. D'autres pays européens adopteront cette même position, le dernier en date
étant l'Italie. A noter le fait regrettable que chaque nation joue sur le sujet sa propre
partition, alors qu’une action coordonnée des pays membres de l’UE était
initialement envisagée.
L'épilogue est encore loin d'être écrit, et voilà donc où nous en sommes aujourd'hui.
Alors, quid de l'utilisation de Google Analytics ?
GOOGLE ANALYTICS ILLEGAL ?
Au regard de ce que nous venons de résumer, on comprendra que Google Analytics
n'est pas, en soi, illégal. Ce qui l'est, ce sont les transferts de données personnelles
et leur conservation aux Etats-Unis, dans un format potentiellement accessible par
les autorités de sécurité et de sûreté nationales de l'Oncle Sam. Le problème est que
Google Analytics réalise lesdits transferts. Mais la CNIL reste prudente dans sa
formulation : elle évoque le caractère "non conforme au RGPD" de GA "dans une
certaine configuration", se fondant ainsi sur les observations techniques, concrètes
et détaillées de NOYB. Le travail minutieux de la CNIL à ce sujet a consisté à
répondre à de nombreuses questions techniques et juridiques.
Afin d'en comprendre la complexité et la profondeur, nous les résumons ci-dessous,
sans prétendre être exhaustif :
- Qui est responsable de l'utilisation de GA ?
Le responsable est celui du traitement des données, i.e. l'éditeur du site concerné,
et en aucun cas Google.
- Les données transférées par GA vers les Etats-Unis sont-elles bien des données personnelles au sens juridique du terme ?
Oui, et c'est bien parce qu'on évoque des données à caractère personnel que ce
transfert est sous le coup du RGPD.
- Les données collectées ne vont-elles pas vers des serveurs en Irlande, siège "Européen" de GA ?
Oui, mais elles sont transférées et hébergées par la suite aux EU
- Google a depuis anonymisé davantage les données propres à son outil "Analytics":
Oui, mais pas de garanties suffisantes en l'état pour la CNIL :
techniquement, une identité utilisateur peut toujours, à l'heure actuelle, être
reconstituée.
- Google n'a-t-il pas passé dans certains cas un accord juridiquement valide avec l'éditeur du site ? (CCT : Clause contractuelle type) :
Oui, mais même si cet accord existe et est juridiquement valable, il ne concerne que
Google et l'éditeur, et non les autorités officielles des pays tiers.
- Et si l'utilisateur donne son consentement ?
C'est actuellement le cas pour les cookies de Google, mais l'information relative aux
droits américains de saisine de données personnelles n'est pas fournie. Le
consentement de l'utilisateur ne peut donc être considéré comme "consentement
explicite au transfert de données" au sens juridique du terme. Toujours dans le
domaine du consentement, et sans rapport avec ce qui vient d'être écrit, l'article 49
du RGPD pourrait prévoir un cas de transfert avec consentement, mais celui-ci est
prévu dans un contexte d'exception, et ne peut en aucun cas revêtir un caractère
systématique.
Seule solution à l'heure actuelle proposée par la CNIL, que nous avons évoqué dans
notre article précédent : la "proxyfication". Coûteux, et rendant bien peu efficiente
l'utilisation de GA au regard des performances initiales attendues. Certains
organismes cependant estiment qu'il est techniquement possible de continuer à
utiliser GA en captant les données et en les anonymisant totalement. Ces
organismes y travaillent ardemment, mais ce travail n'est pour le moment pas
achevé.
Ainsi, la CNIL joue la - juris - prudence, et affirme que "tous les organismes en
France dont l’utilisation de Google Analytics était visée par les plaintes de NOYB ont
désormais fait l’objet de mises en demeure."... Si ces mises en demeure concernent
uniquement les “sites visés par les plaintes de NOYB”, il est bon de savoir que
celles-ci sont au nombre de trois seulement. La CNIL ne s'est donc pas saisie de
l'ensemble des cas de sites utilisant GA, mais ne fait "que" répondre aux plaintes de
NOYB, et, tout de même, communique clairement sur le sujet. Il n'existe donc pas à
ce jour de caractère systématique de l'illégalité, mais concomitamment, et en
définitive de façon plutôt ambiguë, il semble vivement recommandé pour tous de
recourir à d'autres solutions d'analyses. Pourquoi cette prudence ? Parce que les
enjeux ne sont pas anodins : GA est utilisé depuis des années par de nombreux
sites qui fondent leurs mesures d'audience, de performance et leur stratégie
marketing sur cet outil, qui peut par ailleurs être intégré à un autre outil de Google :
Google Marketing Platform. Ne plus utiliser cet outil revient à tout remettre à plat, et
cela est susceptible d'engendrer de grosses pertes en ligne, tant en termes de
charge de travail qu'en termes financiers, dans un contexte de crise pour certains
domaines d'activité.
Ensuite, et surtout, un effet domino est à redouter, car en évoquant ainsi le caractère
illégal de transfert de données vers les US, les autorités ouvrent la boîte de Pandore.
En effet, combien de sites français traitant des données les hébergent sur le sol
américain via le nombre incalculable d'interfaces présentes sur le Net ? Très
probablement beaucoup. Car si l'on se penche de très près sur la législation, la
moindre utilisation d'interface US en ligne, le moindre traitement de données utilisant
des ressources américaines (édition, calcul, stockage, etc.), peut potentiellement
tomber sous le coup de Schrems II.
Et on peut ainsi, de façon légitime, se poser par exemple la question : pourquoi
Google et pas Amazon (par exemple avec AWS), pour ne citer que celui-ci ?.
On perçoit dès lors que la situation en la matière peut très vite devenir "compliquée".
Cependant, la communication de la CNIL sur le sujet ne reste pas vaine, car on
observe, çà et là, quelques changements dans l'utilisation de Ga. Du reste, plusieurs
sites, cités plus loin, même s’ils sont peu nombreux, semblent l’avoir supprimé.
Mais revenons à l'état des lieux que nous avions promis en juin dernier.
EMPLOI DE GA : L'ETAT DES LIEUX
On aime à dire que Google Analytics est utilisé par une immense majorité de sites
en France. Nous avons souhaité vérifier cela pour les sites français les plus visités.
Beaucoup de sites média en font partie, mais pas que. Nous avons également
inspecté les sites de banques, d'assurances, de grande distribution, de services
publics, afin de voir si ceux-ci, sept mois après la communication de la CNIL, utilisent
toujours Google Analytics. Comme nous l’avons dit plus haut, nous avons observé la
suppression pure et simple de GA pour quelques sites français qui l'utilisaient, acte
que l'on doit grandement saluer :
creditmutuel.fr, service-public.fr, ouest-france.fr, lesechos.fr, lemonde.fr et actu.fr.
Pour les autres... Rien n'a changé.
Actuellement, (NDLR : 24 août 2022) plus de la moitié des sites que nous avons inspectés l'utilisent. Le
tableau ci-dessous récapitule l'état des lieux de l'utilisation de GA. Fait non
négligeable : Google analytics est appelé par certains avant même que l'utilisateur
n'y consente. Nous nous attardons sur ce point en fin d'article.
Vous pouvez télécharger ce tableau ici
LES PLAINTES SE SUCCEDENT, DONT LES NOTRES
En juin 2022, soit quatre mois après la première mise en demeure de la CNIL, un
développeur, après avoir audité nombre de sites média, a déposé plainte auprès de
la CNIL pour 42 d'entre eux, pour utilisation de GA. Pourquoi les médias ? Parce que
les consultations d'articles divers traquées par Google Analytics (articles dont les
adresses URL correspondent bien souvent, en "quasi-clair", à leur titre) sont
particulièrement intéressantes à recueillir pour profiler les utilisateurs.
Cependant, comme nous l'avons évoqué plus haut, nous nous sommes posés la
question relative aux contraintes et aux risques liés au changement de solution
analytique pour ces organismes. Ainsi, nous avons cherché à contacter une majorité
des DPO concernés sur notre tableau précédent, afin d'avoir connaissance des
difficultés rencontrées et de leur donner l'occasion d'exprimer leur opinion sur le
sujet.
Silence sur la fréquence : seuls deux organismes nous ont répondu. Omerta quasi
complète.
Nous avons donc décidé de déposer plainte auprès de la CNIL pour les sites
utilisant toujours GA aujourd'hui, c'est-à-dire plus de sept mois après les premières
communications de l'APD française. Mais pourquoi le faire, puisque certaines de nos
plaintes sont redondantes avec celles déjà déposées par le développeur cité plus
haut?
Parce que nous avons la très désagréable sensation que beaucoup de monde, pour
les raisons évoquées précédemment, joue la montre.
Hormis les quelques sites qui
ont d’ores et déjà supprimé GA, nous pensons que chaque acteur (autorités,
responsables de traitement, éditeurs) cherche à temporiser l'interdiction d'utilisation,
en espérant qu'une start-up de mise en conformité solutionne le problème, ou qu'un
accord politique US / UE, annoncé du reste conjointement en mars dernier par
Ursula von der Leyen et Joe Biden, voie concrètement le jour. Mais pendant ce
temps, Google Analytics continue d'engranger sur la terre de l'oncle Sam les
données personnelles des utilisateurs du vieux continent...
Notre tableau de procédures, édité depuis plusieurs mois, évoque en détails les
différentes plaintes déposées. Nous pouvons les classer en deux catégories.
Première catégorie : les plaintes recevables sans équivoque. Elles concernent les
sites qui utilisent GA avant le consentement de l'utilisateur. Ce point est
indiscutablement illégal, car GA, quand bien même il recueillerait des données
jugées "strictement nécessaires au fonctionnement du site", et quand bien même sa
configuration ne prouverait pas qu'il y a transfert de données vers les US, ne fait pas
partie des solutions d'analyses exemptées de consentement par la CNIL. D'autres
points de plaintes, sans rapport par ailleurs avec l'utilisation de GA, sont relevés à
cette occasion, notamment le dépôt (parfois en masse) de cookies publicitaires non
strictement nécessaires au fonctionnement du service proposé avant tout
consentement, et des fenêtres de consentement aux cookies exagérément
trompeuses. Les concernés correspondent aux sites pour lesquels il apparaît “oui”
dans la deuxième colonne de notre tableau.
Seconde catégorie : les plaintes possiblement non recevables. Car en effet, soyons
clairs : nous ne prétendons pas être en mesure de démontrer factuellement,
techniquement et juridiquement l'exportation de données à caractère personnel vers
les US via Google analytics ; nous apportons simplement des preuves d'utilisation
par certains sites de cette solution d'audience.
Ces plaintes ont donc pour objectif de faire statuer la CNIL sur l'utilisation en l'état
actuel de GA, et de lui faire prendre position : soit Google Analytics doit être banni
des sites, soit non. Mais en tout état de cause, le Statu Quo doit, à notre sens,
prendre fin.
Gageons que cette démarche aboutisse à une situation salutaire pour tous.
Dignilog.