« Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci [les clauses contractuelles type ou SCC] ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données », de sorte que ces transferts violent les articles 44 et suivants du RGPD.
C’est ce qu’affirme la Cnil dans un communiqué publié le 10 février 2010, annonçant la mise en demeure d’un gestionnaire de site français (non nommé) utilisateur de cet outil de mesure d’audience de « mettre en conformité [ses] traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics » « dans les conditions actuelles », et ce sous « un délai d’un mois ».
Une enquête européenne lancée après saisine de l’association Noyb
La mise en demeure annoncée ce 10 février est la conclusion d’une enquête menée par la Cnil « en coopération avec ses homologues européens » afin de « tirer collectivement les conséquences » de l’arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE) daté juillet 2020 invalidant le « Privacy Shield » qui rendait possible les transferts de données transatlantiques.
La Cnil a été saisie, parmi les autorités de protection des données de 30 États européens, par l’association Noyb fondée par le militant autrichien Max Schrems en août 2020, soit le mois suivant l’invalidation du « Privacy Shield ».
Première à réagir, l’autorité autrichienne DSB (« Datenschutzbehörde ») a estimé mi-janvier 2022 que l’outil Google Analytics violait le RGPD en transférant Outre-Atlantique les identifiants uniques qu’il attribue à chaque visiteur de site, qui constituent autant de données personnelles. La Cnil a été saisie fin janvier par le collectif Interhop sur la question précise de l’utilisation de Google Analytics par les sociétés e-santé (voir article H&TI ici).
Au-delà de Google Analytics, tous les transferts de données visés
La Cnil annonce que « d’autres procédures de mises en demeure ont été engagées » par ses services à l’encontre de gestionnaires de sites utilisant Google Analytics, et que l’enquête qu’elle mène avec ses homologues « s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données » d’internautes européens vers les États-Unis. Elle ajoute que « des mesures correctrices à ce sujet pourraient être adoptées prochainement ».
« Nous nous questionnons sur les conséquences de cette prise de position de la Cnil sur le secteur de la e-santé », réagit le collectif Interhop dans un message adressé à Health & Tech Intelligence, « notamment concernant les traitements de données de santé réalisés par une société soumise au droit américain (Iqvia) ou par des éditeurs hébergés chez des clouders américains (Doctolib, Alan, Lifen, Synapse Medicine) ». Par ailleurs, une analyse du développeur Julien Bouquillon datant d’octobre 2020 indiquait que Google Analytics était l’outil de mesure d’audience le plus fréquent chez les sites publics français, avec 526 utilisateurs sur 1 600 sites recensés.
De leur côté, plusieurs sociétés e-santé mises en cause par Interhop dans sa saisine de la Cnil, notamment Recare et Medaviz, ont réagi, estimant qu’un usage limité de Google Analytics n’était pas incompatible avec la sécurité des données.