UTILISATION DE GOOGLE ANALYTICS : ENTRE OMERTA ET PROCRASTINATION




Plus de la moitié en moyenne des sites les plus visités en France continuent d’utiliser Google Analytics.
Nous déposons plainte contre 26 sites.



Comme annoncé, nous faisons le point sur l'utilisation par les sites français de Google Analytics, que nous appellerons GA par la suite pour plus de simplicité. Très vaste sujet, qui mérite que l'on résume les épisodes précédents afin d'en comprendre le mieux possible les tenants et aboutissants.



Récit d'une pièce en quatre actes (pour le moment).



ACTE I :


Février 2016 : L'Union Européenne et les Etats-Unis émettent un accord relatif aux transferts et à l'hébergement de données personnelles de ressortissants de l'Union Européenne vers et aux Etats-Unis. Cet accord porte le nom de "Privacy Shield". Bien que salué par les parties prenantes politiques, il interroge pour beaucoup de monde, y compris quelques instances officielles européennes, et également l'association "la quadrature du net", qui pose un recours contre cet accord.
Trois ans plus tôt, un certain Max Schrems, alors étudiant autrichien et ferme défenseur du droit à la vie privée sur Internet, avait déjà déposé plainte auprès de l'équivalent de la CNIL Irlandaise en 2013, pour un accord similaire concernant cette fois Facebook : le "Safe Harbor". Il obtint l'invalidation par la Cour de Justice de l'Union Européenne (CJUE) du "Safe Harbor", et à cette occasion une notoriété certaine.
Max Schrems est peu convaincu de la solidité du projet "Privacy Shield", et prononce une allocution en ce sens à l'occasion du Cloud Independance Day en juillet 2016. En cause (entre autres) : l'arrêt américain "Foreign Intelligence Surveillance Act" (FISA), article 702, et l'Executive Order 12333, qui, pour résumer, permettent à quelques administrations américaines (dont CIA et NSA) de saisir dans certaines situations des données personnelles hébergées aux US de ressortissants non américains. Cerise sur le gâteau : aucun recours juridique de quelque forme que ce soit ne peut être posé dans ce contexte, pour le cas de l'EO 12333 dans le cadre d'activités de la NSA. Les recours déposés contre le Privacy Shield et les avis d'experts sont ainsi examinés par la CJUE.



ACTE II :


16 juillet 2020 : La CJUE, après s'être posée la question juridique de savoir si ces transferts relèvent du Règlement Général sur la Protection des Données (RGPD) - (et la réponse est oui), invalide le "Privacy Shield", et émet en ce sens un arrêt dit "Schrems II". Cet arrêté est d'ores et déjà perçu comme potentiellement lourd de conséquences.



ACTE III :


le 17 août 2020, l'association "None Of Your Business" (NOYB), dont Max Schrems est président, annonce sur son site avoir déposé pas moins de 101 plaintes auprès des différentes APD nationales pour transfert illégal de données personnelles vers les Etats-Unis en vertu de l'arrêt Schrems II. Ces transferts, selon NOYB, sont opérés selon le cas soit via Facebook Connect, soit via Google Analytics. Certaines APD, dont la CNIL, les examinent et les estiment recevables. Sur ces 101 plaintes, trois organismes français sont concernés.



ACTE IV :


10 février 2022 : la CNIL émet publiquement et anonymement une mise demeure pour un organisme français ; plus précisément, elle demande au gestionnaire du site concerné "de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil (NDLR : Google Analytics) dans les conditions actuelles". Cette mise en demeure constitue un signal fort : la CNIL entend se conformer à l'arrêt de la CJUE. D'autres pays européens adopteront cette même position, le dernier en date étant l'Italie. A noter le fait regrettable que chaque nation joue sur le sujet sa propre partition, alors qu’une action coordonnée des pays membres de l’UE était initialement envisagée.



L'épilogue est encore loin d'être écrit, et voilà donc où nous en sommes aujourd'hui. Alors, quid de l'utilisation de Google Analytics ?



GOOGLE ANALYTICS ILLEGAL ?


Au regard de ce que nous venons de résumer, on comprendra que Google Analytics n'est pas, en soi, illégal. Ce qui l'est, ce sont les transferts de données personnelles et leur conservation aux Etats-Unis, dans un format potentiellement accessible par les autorités de sécurité et de sûreté nationales de l'Oncle Sam. Le problème est que Google Analytics réalise lesdits transferts. Mais la CNIL reste prudente dans sa formulation : elle évoque le caractère "non conforme au RGPD" de GA "dans une certaine configuration", se fondant ainsi sur les observations techniques, concrètes et détaillées de NOYB. Le travail minutieux de la CNIL à ce sujet a consisté à répondre à de nombreuses questions techniques et juridiques.



Afin d'en comprendre la complexité et la profondeur, nous les résumons ci-dessous, sans prétendre être exhaustif :


- Qui est responsable de l'utilisation de GA ?


Le responsable est celui du traitement des données, i.e. l'éditeur du site concerné, et en aucun cas Google.


- Les données transférées par GA vers les Etats-Unis sont-elles bien des données personnelles au sens juridique du terme ?


Oui, et c'est bien parce qu'on évoque des données à caractère personnel que ce transfert est sous le coup du RGPD.


- Les données collectées ne vont-elles pas vers des serveurs en Irlande, siège "Européen" de GA ?


Oui, mais elles sont transférées et hébergées par la suite aux EU


- Google a depuis anonymisé davantage les données propres à son outil "Analytics":


Oui, mais pas de garanties suffisantes en l'état pour la CNIL : techniquement, une identité utilisateur peut toujours, à l'heure actuelle, être reconstituée.


- Google n'a-t-il pas passé dans certains cas un accord juridiquement valide avec l'éditeur du site ? (CCT : Clause contractuelle type) :


Oui, mais même si cet accord existe et est juridiquement valable, il ne concerne que Google et l'éditeur, et non les autorités officielles des pays tiers.


- Et si l'utilisateur donne son consentement ?


C'est actuellement le cas pour les cookies de Google, mais l'information relative aux droits américains de saisine de données personnelles n'est pas fournie. Le consentement de l'utilisateur ne peut donc être considéré comme "consentement explicite au transfert de données" au sens juridique du terme. Toujours dans le domaine du consentement, et sans rapport avec ce qui vient d'être écrit, l'article 49 du RGPD pourrait prévoir un cas de transfert avec consentement, mais celui-ci est prévu dans un contexte d'exception, et ne peut en aucun cas revêtir un caractère systématique.



Seule solution à l'heure actuelle proposée par la CNIL, que nous avons évoqué dans notre article précédent : la "proxyfication". Coûteux, et rendant bien peu efficiente l'utilisation de GA au regard des performances initiales attendues. Certains organismes cependant estiment qu'il est techniquement possible de continuer à utiliser GA en captant les données et en les anonymisant totalement. Ces organismes y travaillent ardemment, mais ce travail n'est pour le moment pas achevé.



Ainsi, la CNIL joue la - juris - prudence, et affirme que "tous les organismes en France dont l’utilisation de Google Analytics était visée par les plaintes de NOYB ont désormais fait l’objet de mises en demeure."... Si ces mises en demeure concernent uniquement les “sites visés par les plaintes de NOYB”, il est bon de savoir que celles-ci sont au nombre de trois seulement. La CNIL ne s'est donc pas saisie de l'ensemble des cas de sites utilisant GA, mais ne fait "que" répondre aux plaintes de NOYB, et, tout de même, communique clairement sur le sujet. Il n'existe donc pas à ce jour de caractère systématique de l'illégalité, mais concomitamment, et en définitive de façon plutôt ambiguë, il semble vivement recommandé pour tous de recourir à d'autres solutions d'analyses. Pourquoi cette prudence ? Parce que les enjeux ne sont pas anodins : GA est utilisé depuis des années par de nombreux sites qui fondent leurs mesures d'audience, de performance et leur stratégie marketing sur cet outil, qui peut par ailleurs être intégré à un autre outil de Google : Google Marketing Platform. Ne plus utiliser cet outil revient à tout remettre à plat, et cela est susceptible d'engendrer de grosses pertes en ligne, tant en termes de charge de travail qu'en termes financiers, dans un contexte de crise pour certains domaines d'activité.



Ensuite, et surtout, un effet domino est à redouter, car en évoquant ainsi le caractère illégal de transfert de données vers les US, les autorités ouvrent la boîte de Pandore. En effet, combien de sites français traitant des données les hébergent sur le sol américain via le nombre incalculable d'interfaces présentes sur le Net ? Très probablement beaucoup. Car si l'on se penche de très près sur la législation, la moindre utilisation d'interface US en ligne, le moindre traitement de données utilisant des ressources américaines (édition, calcul, stockage, etc.), peut potentiellement tomber sous le coup de Schrems II. Et on peut ainsi, de façon légitime, se poser par exemple la question : pourquoi Google et pas Amazon (par exemple avec AWS), pour ne citer que celui-ci ?.


On perçoit dès lors que la situation en la matière peut très vite devenir "compliquée".



Cependant, la communication de la CNIL sur le sujet ne reste pas vaine, car on observe, çà et là, quelques changements dans l'utilisation de Ga. Du reste, plusieurs sites, cités plus loin, même s’ils sont peu nombreux, semblent l’avoir supprimé. Mais revenons à l'état des lieux que nous avions promis en juin dernier.



EMPLOI DE GA : L'ETAT DES LIEUX



On aime à dire que Google Analytics est utilisé par une immense majorité de sites en France. Nous avons souhaité vérifier cela pour les sites français les plus visités. Beaucoup de sites média en font partie, mais pas que. Nous avons également inspecté les sites de banques, d'assurances, de grande distribution, de services publics, afin de voir si ceux-ci, sept mois après la communication de la CNIL, utilisent toujours Google Analytics. Comme nous l’avons dit plus haut, nous avons observé la suppression pure et simple de GA pour quelques sites français qui l'utilisaient, acte que l'on doit grandement saluer :



creditmutuel.fr, service-public.fr, ouest-france.fr, lesechos.fr, lemonde.fr et actu.fr.



Pour les autres... Rien n'a changé.



Actuellement, (NDLR : 24 août 2022) plus de la moitié des sites que nous avons inspectés l'utilisent. Le tableau ci-dessous récapitule l'état des lieux de l'utilisation de GA. Fait non négligeable : Google analytics est appelé par certains avant même que l'utilisateur n'y consente. Nous nous attardons sur ce point en fin d'article.




Vous pouvez télécharger ce tableau ici



LES PLAINTES SE SUCCEDENT, DONT LES NOTRES



En juin 2022, soit quatre mois après la première mise en demeure de la CNIL, un développeur, après avoir audité nombre de sites média, a déposé plainte auprès de la CNIL pour 42 d'entre eux, pour utilisation de GA. Pourquoi les médias ? Parce que les consultations d'articles divers traquées par Google Analytics (articles dont les adresses URL correspondent bien souvent, en "quasi-clair", à leur titre) sont particulièrement intéressantes à recueillir pour profiler les utilisateurs. Cependant, comme nous l'avons évoqué plus haut, nous nous sommes posés la question relative aux contraintes et aux risques liés au changement de solution analytique pour ces organismes. Ainsi, nous avons cherché à contacter une majorité des DPO concernés sur notre tableau précédent, afin d'avoir connaissance des difficultés rencontrées et de leur donner l'occasion d'exprimer leur opinion sur le sujet.



Silence sur la fréquence : seuls deux organismes nous ont répondu. Omerta quasi complète.



Nous avons donc décidé de déposer plainte auprès de la CNIL pour les sites utilisant toujours GA aujourd'hui, c'est-à-dire plus de sept mois après les premières communications de l'APD française. Mais pourquoi le faire, puisque certaines de nos plaintes sont redondantes avec celles déjà déposées par le développeur cité plus haut?


Parce que nous avons la très désagréable sensation que beaucoup de monde, pour les raisons évoquées précédemment, joue la montre.


Hormis les quelques sites qui ont d’ores et déjà supprimé GA, nous pensons que chaque acteur (autorités, responsables de traitement, éditeurs) cherche à temporiser l'interdiction d'utilisation, en espérant qu'une start-up de mise en conformité solutionne le problème, ou qu'un accord politique US / UE, annoncé du reste conjointement en mars dernier par Ursula von der Leyen et Joe Biden, voie concrètement le jour. Mais pendant ce temps, Google Analytics continue d'engranger sur la terre de l'oncle Sam les données personnelles des utilisateurs du vieux continent...



Notre tableau de procédures, édité depuis plusieurs mois, évoque en détails les différentes plaintes déposées. Nous pouvons les classer en deux catégories.



Première catégorie : les plaintes recevables sans équivoque. Elles concernent les sites qui utilisent GA avant le consentement de l'utilisateur. Ce point est indiscutablement illégal, car GA, quand bien même il recueillerait des données jugées "strictement nécessaires au fonctionnement du site", et quand bien même sa configuration ne prouverait pas qu'il y a transfert de données vers les US, ne fait pas partie des solutions d'analyses exemptées de consentement par la CNIL. D'autres points de plaintes, sans rapport par ailleurs avec l'utilisation de GA, sont relevés à cette occasion, notamment le dépôt (parfois en masse) de cookies publicitaires non strictement nécessaires au fonctionnement du service proposé avant tout consentement, et des fenêtres de consentement aux cookies exagérément trompeuses. Les concernés correspondent aux sites pour lesquels il apparaît “oui” dans la deuxième colonne de notre tableau.



Seconde catégorie : les plaintes possiblement non recevables. Car en effet, soyons clairs : nous ne prétendons pas être en mesure de démontrer factuellement, techniquement et juridiquement l'exportation de données à caractère personnel vers les US via Google analytics ; nous apportons simplement des preuves d'utilisation par certains sites de cette solution d'audience.



Ces plaintes ont donc pour objectif de faire statuer la CNIL sur l'utilisation en l'état actuel de GA, et de lui faire prendre position : soit Google Analytics doit être banni des sites, soit non. Mais en tout état de cause, le Statu Quo doit, à notre sens, prendre fin.



Gageons que cette démarche aboutisse à une situation salutaire pour tous.



Dignilog.