En mars 2022, les Etats-Unis et la Commission européenne ont annoncé avoir trouvé un « accord de principe » pour poser le régime juridique des transferts de données personnelles de l’Union européenne jusqu’aux Etats-Unis.
Il s’agit d’une annonce particulièrement importante, qui intervient à la suite de plusieurs décisions juridictionnelles, notamment de la Cour de justice de l’Union européenne, et de prises de position des autorités nationales chargées de la protection des données.
En particulier, une solution informatique a été particulièrement visée ces derniers temps : il s’agit de Google Analytics.
Pour rappel, Google Analytics est une solution développée par Google qui permet d’opérer des mesures d’audience en récoltant les données. Concrètement, chaque éditeur de site internet peut installer, gratuitement et de manière très facile, cette solution. Google Analytics commence alors à collecter les données des utilisateurs du site web et les traite.
Pour ne vous donner que quelques exemples, de nombreuses petites et moyennes entreprises françaises utilisent Google Analytics. C’est également le cas des grandes entreprises comme :
- Carrefour
- Totalenergies
- Renault
- Rotschild
- Axa
- General Electric
- France Télévisions
Dernièrement, en février 2022, la CNIL a en effet pris position en considérant que cette solution était contraire au Règlement général sur la protection des données personnelles (RGPD), en raison, justement, des transferts de données opérés vers un pays tiers de l’Union européenne.
De manière plus précise, la CNIL a mis en demeure le gestionnaire d’un site internet de cesser son utilisation de Google Analytics et l’a fait savoir publiquement.
Dès lors, pour quelles raisons l’autorité de protection des données personnelles a-t-elle pris une telle position ? Par ailleurs, comment se mettre en conformité avec le RGPD concernant les transferts de données dans un pays tiers à l’Union européenne ?
Il sera répondu à ces questions en deux temps :
- Les raisons qui ont poussé la CNIL à considérer que la solution Google Analytics est contraire au droit des données personnelles ;
- Les conséquences de cette décision, conséquences à la fois juridiques mais aussi économiques, puisqu’elles sont considérables.
La CNIL considère que Google Analytics opère des transferts de données personnelles contraire au RGPD
Pour rappeler le cadre juridique applicable aux transferts de données :
- En principe, depuis une directive européenne de 1995 reprise dans le RGPD, les transferts de données sont permis au sein de l’Union européenne mais interdits en dehors de son territoire
- Toutefois, il existe plusieurs exceptions à ce principe :
- Le cas d’une décision d’adéquation de la Commission européenne, qui se basera la plupart du temps sur un accord international avec le pays tiers concerné. Ce fut notamment le cas avec le Privacy Shield pour les Etats-Unis, mais cet accord a été annulé par la Cour de justice de l’Union européenne.
- Les garanties appropriées et suffisantes (quelles soient contractuelles, organisationnelles ou techniques). Ces garanties doivent se trouvent à travers les clauses contractuelles des acteurs organisant les transferts de données.
- Les raisons particulières (par exemple, un consentement explicite et informé, un intérêt public, la nécessité de l’exécution d’un contrat…)
Selon l’analyse de la CNIL, Google ne pouvait pas s’appuyer sur ces exceptions pour justifier ses transferts de données :
- En effet, concernant l’exception basée sur une décision d’adéquation de la Commission européenne, le Privacy Shield a été annulé dans un arrêt Schrems II de 2020 rendu par la Cour de justice de l’Union européenne.
- Par ailleurs, l’exception basée sur les garanties appropriées et suffisantes, la CNIL a considéré qu’elles n’étaient pas présentes en l’espèce en raison de la législation américaine (notamment le Foreign Intelligence Surveillance Act, le Cloud Act et un executive order pris par le Président des Etats-Unis) qui permet aux services de renseignement d’accéder aux données transférées.
Dès lors, l’autorité française de protection des données considère donc que les transferts de données opérés par Google Analytics sont bien contraires au RGPD.
L’interdiction des transferts de données personnelles aux Etats-Unis emporte des conséquences juridiques et économiques considérables
Depuis la décision de la CNIL, qui n’est pas définitive pour le moment, l’état du droit applicable est particulièrement incertain.
Concernant les conséquences juridiques à tirer concernant l’interdiction des transferts de données personnelles aux Etats-Unis, la palette de mesures à prendre est assez large :
- Lancer des études d’impact pour respecter le RGPD et évaluer les risques qui pourraient découler des transferts de données
- Arrêter d’utiliser Google Analytics et utiliser un autre logiciel de mesure d’audience
- Attendre de connaître le contenu précis du nouvel accord négocié entre l’Union européenne et les Etats-Unis
- Attendre que Google fasse évoluer sa solution pour qu’elle soit plus respectueuse du droit des données personnelles
Concernant les conséquences économiques, le risque est de priver un certain nombre d’acteurs du logiciel édité par Google, alors qu’il est particulièrement utile pour leur modèle d’affaires.
Enfin, concernant les conséquences géopolitiques, bien qu’un accord international ait récemment été trouvé, sa portée risque d’être limitée tant qu’il n’aura pas été approuvé par le Sénat américain.
Ainsi, l’état du droit demeure particulièrement incertain et les conséquences seront particulièrement stratégique.
