En février 2022, le CNIL a mis en demeure un site d’e-commerce français suite à la réclamation de l’organisation noyb (None Of Your Business) sur le transfert illégal de données vers les États-Unis au sens RGPD. Le site en question utilise Google Analytics pour analyser le comportement des visiteurs de son site web. Nous partageons avec vous notre compréhension de cette décision.
noyb dénonce le transfert illégal de données personnelles vers les États-Unis
L’organisation nyob a présenté auprès de l’entité de protection de données de 30 pays de l’Espace Economique Européen des réclamations concernant l’utilisation des outils comme Google Analytics et Facebook Ads. En France, la réclamation concerne un site d’e-commerce français et son utilisation de Google Analytics.
Le CNIL a été saisie en raison du transfert illégal de données personnelles depuis l’Union Européenne vers les États-Unis par le biais de Google depuis le site web de l’acteur en question. Selon noyb, ces deux entreprises ne respectent pas l’encadrement de transfert de données vers un pays tiers au sens RGPD :
- Les utilisateurs de Google Analytics doivent accepter ses conditions d’utilisation ainsi que celles de Google Ads. Cela implique d’accepter que Google LLC réalise le traitement de données personnelles (adresse IP, identifiant unique) sur le territoire américain. Le transfert des données vers les États-Unis n’est plus autorisé de manière générale depuis 2020.
- Ce transfert nécessite alors une base juridique valide, laquelle est inexistante pour nyob.
3 raisons qui expliquent l’illégalité du transfert de données vers les États-Unis
Dans sa décision de demeure, le CNIL présente les 3 instruments mis à disposition par le RGPD (articles 45, 46 et 49) qui peuvent servir de base juridique pour encadrer le transfert des données vers un pays tiers.
Déclaration d’adéquation
Il s’agit d’une décision arrêtant que la protection des données au sein d’un pays tiers n’est pas à l’encontre du niveau de protection de données prévu au sein de l’UE.
En 2016, le « Privacy Shield » est entré en vigueur. Cela est un mécanisme d’auto-certification de sécurité pour les sociétés établies aux USA leur permettant d’importer des données depuis l’Union Européenne.
Cependant, le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a annulé cette déclaration avec l’arrêt « Schrems II » en raison de 2 dispositifs américains permettant au Gouvernement américain d’avoir accès aux données transférées :
- Foreign Intelligence Surveillance Act, Section 702 (FISA s702) : Les fournisseurs de communications électroniques américains, dont Google, doivent permettre l’accès par le Gouvernement aux informations d’intelligence localisées dans le territoire américain concernant des citoyens et résidents non américains localisés en dehors du territoire américain
- Le Gouvernement n’est pas obligé à préciser ni la personne ciblée ni sa motivation
- Ces informations doivent être communiquées en secret et sans prévenir le propriétaire
- Executive Order 12333 (EO 12333) :dispositif similaire à FISA s702 mais qui concerne les données localisées en dehors du territoire américain pourvu qu’elles concernent des informations sortant ou entrant du territoire. Les sociétés ne sont pas obligées de les fournir mais les autorités peuvent exploiter toute possible défaillance pour y accéder.
Garanties appropriées
Il s’agit des dispositifs assurant la protection de données, l’opposition au transfert et des voies de droit effectives. Malgré des efforts, Google et l’acteur français ne fournissent aucune garantie appropriée au sens du RGPD.
Google utilise des clauses contractuelles pour garantir le respect du RGPD et encadrer le transfert de données vers l’étranger. Ces clauses sont consignées dans « Google Ads Data Processing Terms ». Ces clauses n’ont pas été remises en cause par l’arrêt Shrems II.
Cependant, elles n’ont aucun effet sur les autorités des pays tiers notamment aux États-Unis. Grâce à FISE s702, Google est obligé de fournir aux autorités les données et les clés de déchiffrement, le cas échéant. Les personnes concernées n’ont pas non plus aucun moyen valide devant un tribunal pour s’y opposer.
D’autre part, le site d’e-commerce français et Google assurent que les adresses IP des utilisateurs sont rendues anonymes. Or, le site n’a pas été en mesure de le démontrer ni Google a pu clarifier si la procédure est réalisée avant ou après le transfert. Ce n’est pas clair non plus si dans tous les cas, il est obligé de fournir l’adresse IP aux autorités américaines.
Dérogations
L’article 49 du RGPD prévoit deux dérogations possibles au cas où aucun de deux dispositifs précédents n’est applicable :
- L’utilisateur donne son consentement au transfert envisagé après avoir été informé des risques liés à ce transfert
- Le transfert est nécessaire pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement de ses données
L’acteur français a utilisé les deux dérogations pour justifier le transfert des données :
- Sur son site, les utilisateurs peuvent décider s’ils autorisent ou pas Google Analytics à suivre leur visite.
Néanmoins, cela ne correspond pas à la dérogation sur le consentement puisque consentir le suivi n’implique pas consentir le transfert des données vers un pays tiers. Par ailleurs, il ne précise pas en aucun moment aux utilisateurs que leurs données seront transférées en dehors de l’UE et les risques y associés.
- Le transfert est nécessaire pour le bon fonctionnement du site web et la détection d’anomalies
Cela n’a pas pour autant été démontré. En plus, le CNIL estime que l’acteur ne démontre pas l’existence d’une relation contractuel avec les utilisateurs. S’il n’y a pas de contrat, il n’y a pas besoin de transférer des données pour l’exécuter.
Décision de mise en demeure
A ce jour, seul le CNIL et son équivalent autrichien (Datenschutzbehörde) ont émis une décision à ce sujet. Dans les deux cas une mise en demeure a été émise.
L’acteur français dispose d’un mois pour mettre en conformité son utilisation de Google Analytics. Si cela n’est pas possible, il doit cesser l’utilisation de cet outil.
Si cela n’est pas le cas, des sanctions seront prononcées. Pour rappel, le RGPD prévoit des amendes de jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, s’il s’agit d’une entreprise. Le montant le plus élevé est prévu.
Disclaimer : Ceci est uniquement notre compréhension de la décision émise par le CNIL.
N’hésitez pas à lire des contenus similaires :