La Commission nationale de l’informatique et des libertés (CNIL) tape du poing sur la table. L’autorité de protection des données a mis en demeure Google, ce 10 février, pour les transferts de données européennes vers les États-Unis de son service Google Analytics, après une plainte de l’association Noyb. Le géant américain à un mois pour se mettre en conformité ou pour suspendre son service.

Google Analytics ne respecte pas le RGPD

Analytics, pour ceux qui l’ignorent, est un service gratuit de Google utilisé par de très nombreux sites web, dont Siècle Digital, pour analyser son audience. Il fournit des informations telles que le nombre de visiteurs uniques, notamment en temps réel, le nombre de pages vues, lesquelles sont vues, la durée moyenne des visites, la provenance des visiteurs…

Pour effectuer ces mesures, Google attribue un identifiant unique et anonyme à chaque visiteur. Selon la CNIL cet identifiant peut permettre à Google de retrouver l’identité des visiteurs en recoupant les données dont le groupe dispose, il constitue donc une donnée personnelle. Le problème, c’est que cette donnée est transférée vers les États-Unis.

L’article 44 du règlement général sur la protection des données, le fameux RGPD, interdit le transfert de données personnelles européennes vers un pays n’assurant pas une protection équivalente à la réglementation du Vieux Continent. Pour la CNIL, « les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle ».

La CNIL reconnaît que des mesures ont été prises par Google pour protéger le transfert des données européennes, mais l’autorité estime que « celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données ».

Depuis l’arrêt Schrems II, du nom du fondateur de l’association Noyb, la Cour de Justice de l’Union européenne (CJUE) a cassé en juillet 2020 l’accord Privacy Shield encadrant le transfert de données vers les États-Unis depuis 2016. Il a été jugé insuffisant pour protéger les données européennes des renseignements américains, à cause d’une loi locale, le Cloud Act.

Les CNIL européennes travaillent main dans la main

Noyb, spécialisé sur les questions de protections des données, s’était empressé de déposer 101 réclamations dans les 27 États membres de l’UE et dans 3 pays de l’espace économique européen.

La Datenschutzbehörde (DSB), l’équivalent de la CNIL en Autriche, a pris une décision similaire à l’autorité française le 13 janvier, elle a été suivie par l’autorité néerlandaise le même mois. D’autres autorités pourraient suivre, la CNIL expliquant avoir travaillé « en coopération avec ses homologues européens ».

Google Analytics pourrait théoriquement disparaître en Europe. La mise en demeure de l’autorité de protection des données propose l’une de ces options à Mountain View pour se mettre en conformité avec le RGPD, « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE ».

Google n’a pas encore réagi, mais la décision française étant très proche de son homologue autrichienne, il faut s’attendre à une réponse du même ordre. Google a d’abord estimé que les mesures prises « garantissent une protection pratique et efficace des données selon toute norme raisonnable ». Le géant américain assure également ne jamais avoir reçu de demandes des renseignements américains.

La problématique du transfert de données UE-US

L’élément le plus intéressant vient plus tard, le 19 janvier, via un billet de blog. Google demande aux autorités européennes et américaines de trouver une solution, « Les entreprises européennes et américaines attendent de la Commission européenne et du ministère américain du Commerce qu'ils finalisent rapidement un accord succédant au Privacy Shield et permettant de résoudre ces problèmes ».

Google n’hésite pas à se faire pressant avec les États-Unis et l’Union européenne « nous demandons instamment une action rapide pour rétablir un cadre pratique qui protège la vie privée et favorise la prospérité ».

La position de Google est en réalité très similaire à celle de Meta, début février, lorsque le groupe a agité la perspective d’un départ du continent européen dans un document destiné au gendarme de la bourse américaine. L’entreprise de Mark Zuckerberg s’est défendue de toute menace, un terme utilisé par les médias, dont Siècle Digital, contre les autorités européennes.

Pour Meta il s’agit d’une description de la réalité de sa situation depuis que le Privacy Shield a rendu le transfert de données européennes vers les États-Unis susceptibles de tomber sous le coup du RGPD.

Meta comme Google cherche surtout à faire pression sur l’UE et les États-Unis pour trouver un accord encadrant le transfert de données entre les deux. Les deux géants américains étant peu à peu rattrapés par les autorités de protection des données européennes.

Il s’agirait du troisième accord de ce type et jusqu’à présent tous ont été cassés par la CJUE, car il n’était pas suffisamment protecteur. Cela explique que les négociations, en cours, traînent en longueur. Les Européens veulent un niveau de protection digne du RGPD, ne serait-ce pour des questions juridiques, les États-Unis ne veulent pas renoncer à leur Cloud Act.

En attendant Meta, Google et d’autres pourraient, par exemple, localiser les données européennes en Europe ou trouver des astuces pour protéger celle devant obligatoirement traverser l’Atlantique, mais cela ne semble pas à l’ordre du jour.