La CNIL a mis à disposition sa décision de mise en demeure anonymisé pour le gestionnaire de site web utilisant Google Analytics.

Document très intéressant dans lequel nous apprenons que « Google Analytics dépose et lit des cookies sur le navigateur de l’utilisateur pour permettre d’évaluer la session de l’utilisateur et les autres informations de la requête de page.

Quand ces informations sont collectées, elles sont transmises aux serveurs de Google Analytics. […] l’ensemble des données collectées via Google Analytics étaient hébergées aux États-Unis. »

La CNIL confirme que les données collectées par Google Analytics sont bel et bien des données personnelles.  En l’espèce, ces données sont les suivantes :

• Un identifiant du visiteur (identifiant du cookie visiteur Google Analytics, c’est-à-dire le « client ID » Google Analytics)
• Pour les visiteurs s’étant authentifiés au site web à travers un compte utilisateur, un identifiant interne […];
• Les identifiants de commande, le cas échéant ;
• Les adresses IP

La commission justifie le caractère personnel des données en expliquant qu’en l’espèce, elles peuvent être combinées entre elles et ainsi renforcer leur caractère discriminant et identifiant.

De son coté, pour encadrer ce transfert de donnée aux USA, Google a mis en place d’une part des clauses contractuelles types et d’autre part des mesures supplémentaires d’ordre juridique, organisationnelle et technique.

Les clauses contractuelles types que Google met à disposition sont bien conformes à celles publiées par la Commission européenne dans sa décision 2010/87/EU.

Cependant si la Cour de justice ne remet pas en cause l’utilisation de ces clauses, elle précise dans un arrêt en date du 16 juillet 2020 que « il existe des situations dans lesquelles les stipulations contenues dans ces clauses pourraient ne pas constituer un moyen suffisant permettant d’assurer, en pratique, la protection effective des données à caractère personnel transférées dans le pays tiers concerné. Tel est le cas, notamment, lorsque le droit de ce pays tiers permet aux autorités publiques de celui-ci des ingérences dans les droits des personnes concernées relatifs à ces données. »

En conclusion, les clauses contractuelles types ne peuvent, à elles seules, assurer un niveau de protection suffisant tel qu’exigé par l’article 44 du RGPD.

Les mesures supplémentaires d’ordre juridiques, organisationnelles et techniques sont elles aussi considérées comme insuffisantes. Plus précisément, concernant l’anonymisation des adresses IP qui semblait être une solution viable, la CNIL considère d’une part que cela n’est pas applicable à tous les transferts. Et d’autre part que l’anonymisation peut être fait après que les adresse IP aient été transférées.

Pour conclure il est bon de rappeler qu’il s’agit pour le moment d’un cas isolé. Ni la CNIL ni ses homologues européens n’ont mis en demeure Google Analytics mais seulement des gestionnaires de sites web utilisant ce service d’une certaine manière.

Le gestionnaire de site web a un mois pour se mettre en conformité. En attendant Google devrait communiquer sur le sujet et potentiellement apporter des solutions. On peut peut-être s’attendre à la mise en place de privacy by design et by default et un renforcement des mesures de sécurité.

Pierre Bergerot, consultant en protection des données personnelles chez dposystem.

#conformité #RGPD #data #CNIL #googleanalytics