DOIT-ON CESSER D’UTILISER GOOGLE ANALYTICS?
Doit-on cesser d’utiliser Google Analytics?
Trois décisions européennes en la matière
Jean-François Normand
ROBIC, S.E.N.C.R.L.
Avocat, agent de brevets et de marques de commerce
Dans les derniers mois, plusieurs autorités de contrôle européennes ont rendu des jugements sur l’application du Règlement général sur la protection des données (« RGPD ») aux fichiers témoins (cookies)[1] ainsi que sur l’utilisation de Google Analytics.
Les décisions rendues peuvent être vues comme de bonnes nouvelles pour les défenseurs des droits individuels à la vie privée, mais pourront potentiellement engendrer de sérieux maux de tête aux dirigeants d’entreprises qui utilisent les services de Google Analytics ou d’autres outils similaires.
Nous traiterons ainsi de trois décisions : deux relatives à l’utilisation de Google Analytics et une relative à l’utilisation de fichiers témoins, puis nous terminerons avec notre analyse de la situation.
Google Analytics : Mise en demeure de la CNIL à l’encontre d’un gestionnaire de site Web
Le 10 février dernier, la Commission nationale de l’informatique et des libertés (« CNIL ») a mis en demeure un gestionnaire de site Web pour son utilisation de l’outil Google Analytics. Pour faire l’historique du dossier, il faut savoir que la CNIL, ainsi que les autorités de contrôle des 27 états membres de l’Union européenne et celles de trois autres pays de l’espace économique européen (« EEE »), ont été saisies d’un total de 101 réclamations de la part de l’organisme None of Your Business (NOYB) à l’encontre de gestionnaires de site web pour le transfert vers les États-Unis de données collectées lors de la visite de ces sites web par des utilisateurs situés en Europe. Les données en question étaient collectées par l’outil Google Analytics, puis transférées et stockées dans des serveurs situés aux États-Unis.
Rappelons qu’en juillet 2020, la Cour de justice de l’Union européenne (la « CJUE ») a rendu l’arrêt « Schrems II » qui a invalidé le Privacy Shield,dont pouvaient bénéficier les entreprises américaines, lequel permettait le recours à un mécanisme reconnu afin de permettre la circulation (ou le transfert) des données personnelles entre l’Europe et les États-Unis. La CJUE avait rendu son jugement sur le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés. En effet, Google se qualifie à titre de electronic communication service provider au sens du 50 U.S. Code § 1881(b)(4), et est ainsi sujet à la surveillance par les services de renseignements en vertu du 50 U.S. Code § 1881a. En résumé, les 101 réclamations déposées par NOYB font suite à l’arrêt Schrems II et invoquent que Google n’offre pas suffisamment de garanties pour empêcher la divulgation des données aux services de renseignements étatsuniens.
En l’espèce, la CNIL a donné raison à NOYB en statuant que les données personnelles des visiteurs (identifiants uniques, empreinte numérique, etc.) sont transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle mentionne que malgré les mesures supplémentaires adoptées pour encadrer les transferts de données de Google Analytics, Google n’offrait pas un niveau suffisamment élevé de protection des données à l’encontre des services de renseignement. La CNIL met ainsi en demeure le gestionnaire du site Web de se conformer au RGPD en cessant d’avoir recours à Google Analytics (dans sa forme actuelle). Le gestionnaire du site Web en cause dispose d’un délai d’un mois pour se conformer.
Google Analytics : Décision autrichienne à l’encontre d’un gestionnaire de site Web
À l’instar de la CNIL, l’autorité de contrôle autrichienne, la Datenschutzbehörde (la « DSB ») a été saisie d’une plainte de NOYB quant à l’utilisation par un gestionnaire de site Web de l’outil Google Analytics, et donc, du transfert potentiellement illégal – au sens de l’article 44 du RGPD – vers les États-Unis de données personnelles provenant de l’Union européenne.
Dans sa décision, la DSB se penche plus en profondeur sur la portée de la définition de données à caractère personnel[2], soit :
« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité […] »
[Nos annotations]
En l’espèce, la décision de la DSB démontre que le code Java Script implémenté par Google Analytics sur le site Web permet de recueillir l’identifiant unique de l’utilisateur, l’adresse et le titre HTLM des pages visitées, des informations sur le fureteur, le système d’exploitation, la résolution d’écran, la langue de préférence, la date et l’heure de la visite, ainsi que l’adresse IP de l’appareil utilisé.
Dans la présente affaire, le gestionnaire du site Web ainsi que Google ont notamment fait valoir que les données fournies à Google, tel que détaillée dans le précédent paragraphe, ne constituaient pas des données à caractère personnel et que, même si c’était le cas, des mesures additionnelles suffisantes avaient été mises en place afin de protéger ces données. En outre, les mesures de protection prises par Google comprenaient (1) des rapports de transparence sur les demandes des autorités américaines, (2) le cryptage au repos dans les centres de données et (3) la pseudonymisation des données.
Il est important de mentionner que selon l’interprétation donnée par la DSB, le fait qu’il ne soit pas possible d’identifier une personne directement avec certaines données ne permet pas d’écarter l’application du RGPD : une identification indirecte (ex. avec d’autres données) est suffisante. Or avec les identifiants uniques (User ID/Client ID) de Google Analytics, il est possible de faire du ciblage (singling-out) en recoupant ceux-ci avec d’autres données (dont les données d’empreinte numérique collectées par Google Analytics). La DSB établit également qu’il n’est pas nécessaire que ces identifiants soient associés à un « visage », puisque l’article 4 du RGPD n’en exige pas autant. Le fait que le gestionnaire du site Web n’ait pas lui-même fait de ciblage ne constitue pas une défense acceptée, puisqu’il est possible qu’une personne puisse être identifiée. Tel que le mentionne la DSB dans son jugement :
A standard of « identifiability » to the effect that it must also be immediately possible to associate such identification numbers with a specific « face » of a natural person – i.e., in particular with the name of the complainant – is not required […].
Such an interpretation is supported by Recital 26 of the GDPR, according to which the question of whether a natural person is identifiable takes into account « […] any means reasonably likely to be used by the controller or by any other person to identify the natural person, directly or indirectly, such as singling out” [Annotations de la DSB]
En l’espèce, puisque le service offert était Google Analytics, la combinaison de Cookie ID, de l’adresse IP et des données de navigation (et donc le compte Google de l’utilisateur) permettait raisonnablement à Google d’identifier l’utilisateur en question sans trop d’effort.
Nous croyons ici important de rappeler que, selon la jurisprudence européenne[3], une adresse IP dynamique isolée peut être considérée comme une donnée personnelle et qu’elle ne perd pas son caractère personnel uniquement parce que les moyens d’identifier l’individu impliquent une tierce partie. En d’autres mots, ce n’est pas parce qu’un organisme ne peut pas établir lui-même un lien entre une personne physique et une certaine donnée (ex. adresse IP) que cela est suffisant pour écarter cette donnée de la définition de l’article 4(1) du RGPD. Il suffit que cela puisse être fait par des moyens légaux et suivant un effort raisonnable.
Ainsi, avec un raisonnement similaire à celui de la CNIL (basé sur l’arrêt Schrems II) mentionné ci-haut, la DSB conclut que le gestionnaire du site Web a transféré à l’extérieur du territoire de l’Union européenne des données personnelles, et ce, sans garantie suffisante qu’un niveau adéquat de protection soit offert auxdites données.
Cookies : Le Conseil d’État (France) impose une forte amende à Google
Le 28 janvier dernier, le Conseil d’État français a confirmé la décision de la CNIL quant à l’octroi contre Google LLC et Google Ireland Ltd d’amendes administratives aux montants respectifs de 60 et 40 millions d’euros. Ce qui est reproché à Google en l’espèce est le téléchargement automatique, lors de la visite de google.fr, de sept fichiers témoins sur l’ordinateur, et ce, sans le consentement du propriétaire de l’appareil. Il s’avère également que sur les sept fichiers témoins, quatre n’avaient pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ni n’étaient strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Pendant l’instance, Google a amendé ses pratiques, mais a continué à ne pas informer directement et explicitement l’utilisateur sur les finalités de ses cookies et les moyens de s’y opposer. Au moment de l’audience, à l’aveu de Google, il demeurait toujours un fichier témoin – à des fins publicitaires – qui se téléchargeait automatiquement lors de la visite du site en question.
La Cour conclut que les agissements de Google LLC et de Google Ireland Ltd vont à l’encontre de la législation française et européenne en matière de protection de la vie privée. Cette dernière base son jugement notamment sur le paragraphe 3 de l’article 5 de la directive 2002/58/CE[4] : Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE [remplacée par le RGPD], une information claire et complète, entre autres sur les finalités du traitement. [Nos annotations]
Il faut donc retenir de cette décision qu’il est essentiel d’obtenir le consentement avant de télécharger les cookies sur l’appareil d’un visiteur. Certains cookies sont cependant exemptés de l’obtention de ce consentement s’ils sont strictement nécessaires à la fourniture du service, soit des cookies qui (i) ont une finalité strictement limitée à la seule mesure de l’audience du site (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés), pour le compte exclusif de l’éditeur ou (ii) servent à produire des données statistiques anonymes uniquement. Dès qu’un fichier témoin est recoupé avec d’autres données ou est transmis à un tiers, l’exception ne tient plus et un consentement doit être obtenu. Comme le rappelle la CNIL, les fichiers témoins, pour jouir de l’exception, ne doivent pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.
Ce qu’il faut retenir
Qui dit RGPD dit loi européenne. Ainsi, il importe de mentionner que seules les entreprises assujetties au RGPD sont potentiellement visées par ces décisions. Sans entrer dans les détails de l’applicabilité du RGPD, rappelons que toute entreprise canadienne (établie ou non en Union européenne) traitant des données à caractère personnel de personnes se situant en territoire européen lorsque ce traitement survient est assujettie au RGPD si cette entreprise s’adonne à l’une ou l’autre des activités visées par le RGPD[5]. À cet égard, nous vous invitons à lire ou relire un article que nous avons rédigé sur le sujet lors de l’entrée en vigueur de cette loi en 2018.
Ces décisions permettent notamment de mettre en lumière l’importance pour les entreprises d’avoir une compréhension technique de leurs flux de données, c’est-à-dire, où les données sont-elles transférées (pays), qui reçoit les données et comment les données sont-elles protégées. Également, ces décisions réitèrent l’importance d’évaluer tout transfert de données en dehors de l’EEE et que cette évaluation doit se faire au cas par cas. En effet, en aucun cas, ces décisions ne devraient être interprétées comme signifiant que tous les transferts de données personnelles vers les États-Unis entraînent une violation du RGPD ou que toute utilisation de Google Analytics est prohibée.
Concernant l’aspect plus spécifique des fichiers témoins, retenons que votre site Web ne devrait pas télécharger de cookies sur l’ordinateur de l’utilisateur avant que celui-ci n’ait consenti à un tel téléchargement, à moins que ces cookies soient essentiels à la fourniture du service (par exemple, un cookie de connexion afin de rester connecter à un compte d’utilisateur à travers les pages d’un même site).
Il va sans dire qu’il est primordial d’informer les utilisateurs des types de fichiers témoins qui seront téléchargés, de l’utilisation qui en sera faite et, finalement, des moyens de s’opposer à la collecte de données. Généralement, cela se fait par un bandeau affiché au moment de la première visite du site, complété par la politique de confidentialité de l’organisme. À cet égard, un gestionnaire de site Web doit porter attention à ce que le déploiement des cookies ne soit pas intégré directement dans le code du site, mais soit fait par l’utilisation de gestionnaires de balises (ex. Google Tag Manager) lesquels vont prendre en considération le choix de l’utilisateur d’accepter ou de refuser les cookies. Sans l’utilisation d’un gestionnaire de balises, le script du site devrait automatiquement procéder au téléchargement de tous les cookies dès le chargement de la page.
Nous rappelons également qu’il est essentiel que le refus des cookies soit aussi facile que l’acceptation de ceux-ci. Bref, l’utilisation de boutons du type « Oui, j’accepte tous les cookies » et « préférences » (suivis d’un menu où il faut cliquer à plusieurs endroits afin de refuser les cookies) n’est pas conforme à la législation européenne. De plus, le simple fait qu’un visiteur continue de parcourir le site suivant l’affichage d’un bandeau de consentement ou d’information ne doit pas être interprété comme un consentement tacite et ne permet donc pas de télécharger les cookies non essentiels.
Pour de l’information additionnelle sur les fichiers témoins, notamment quant à la législation canadienne et québécoise sur le sujet, veuillez consulter notre article portant sur le sujet.
Quant à l’utilisation de l’outil Google Analytics, l’enjeu demeure davantage flou. En effet, au moment de la publication de notre article, et selon nos recherches, il ne semble pas possible de choisir le lieu de stockage des données collectées par Google Analytics ni le fournisseur des services. En outre, cela semble réservé à Google Workspace (Calendar, Drive, Forms, Gmail, etc.). Ainsi, nous recommandons une grande prudence face à l’utilisation du service de Google Analytics – et de tout autre service similaire d’un compétiteur – dans la mesure où les données personnelles sont transférées vers les États-Unis. Un service, dont les données sont stockées dans le territoire de l’Union européenne ou au Canada, devrait être privilégié. Cela étant dit, certains cabinets européens ont pris position qu’il est possible d’utiliser Google Analytics en suivant certaines étapes de configuration, notamment en désactivant les paramètres de partage de données et en activant l’anonymisation des adresses IP. De plus, suivant la décision de la DSB, Google a mis en ligne des conseils pratiques pour qu’un gestionnaire de site Web puisse se conformer au RGPD dans son utilisation de Google Analytics. Bien qu’il ne soit pas possible de savoir si un verdict différent aurait été rendu par la DSB dans la mesure où ces recommandations avaient été suivies par le gestionnaire du site Web, nous recommandons d’en tenir compte afin, du moins, d’être en mesure de minimiser les risques.
Il sera intéressant de suivre l’évolution de ce dossier et ainsi voir comment les autorités de contrôle prendront position dans les prochains mois (c.-à-d. dans les 99 autres plaintes déposées par NOYB) sur l’utilisation de Google Analytics et des services similaires. La question étant loin d’être résolue fermement, chaque organisme devra faire sa propre balance des inconvénients et évaluer le risque d’une poursuite par une autorité de contrôle européenne.
En terminant, nous désirons souligner le fait qu’investir dans la protection des renseignements personnels n’est plus une option en 2022, et ce, que l’on soit situé en Europe ou au Canada. Avec la récente réforme de la Loi sur la protection des renseignements personnels dans le secteur privé (projet de loi 64), celles des autres provinces[6] et de la Loi sur la protection des renseignements personnels et les documents électroniques (projet de loi C-11) et la réforme des données en santé (projet de loi 19), il ne fait aucun doute que le Québec et le Canada prennent le pas en matière de protection des renseignements personnels. Bref, ce n’est pas parce que votre entreprise ne fait pas affaire en Europe que vous ne devez pas vous sentir concernés ! Pour toute question, n’hésitez pas à communiquer avec Me Jean-François Normand et notre équipe du secteur Protection des données, Vie privée et Cybersécurité
[1] Nous utilisons ici de façon interchangeable cookie et fichier témoin, lesquels réfèrent non seulement aux fichiers texte déposés sur l’appareil du visiteur par un gestionnaire de site web ou son partenaire, mais également les technologies connexes telles que HTML5 local storage, les scripts et modules qui sont exécutés du côté client, le Device fingeprinting, le canvas fingerprinting, les evercookies, les web beacon et autres technologies similaires.
[2] RGPD, article 4.1
[3] Voir paragraphe 102.
[4] La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
[5] Veuillez consulter un professionnel afin d’évaluer votre assujettissement au RGPD.