En considérant que Google Analytics n'est pas conforme au RGPD, la Cnil a mis un coup de pied dans la fourmilière du transfert des données. Ce constat pose des questions économiques, juridiques, mais aussi géostratégiques. Retour sur un problème complexe en neuf questions.
Qu’a dit la Cnil ?
Le 10 février 2022, la Cnil a publié un communiqué statuant une mise en demeure de plusieurs gestionnaires de site web français, la plupart, d’e-commerce. Elle leur reproche d’utiliser un outil qui serait en infraction du RGPD : Google Analytics [GA]. Cette décision intervient 15 jours après celle de son homologue autrichien statuant exactement sur le même problème, et établit les bases d’une position commune entre toutes les autorités européennes des données. La Cnil avait été saisie, comme en Autriche, par l’association None Of Your Business, menée par la figure du combat sur la privacy Max Schrems. Cette association a émis des plaintes dans tous les pays européens et d’autres décisions sont attendues ailleurs.
Que reproche-t-on à Google Analytics ?
Google Analytics est utilisé par la quasi-totalité des sites web (plus de 90%) pour obtenir des statistiques sur son trafic. Ce peut être un outil d’analyse assez rudimentaire (combien de personnes viennent, et d’où elles proviennent) comme un outil d’analyse plus poussé dans le cadre d’e-commerce. Il est gratuit et interopérable avec de nombreux outils notamment de la suite Google, et donne donc des données précieuses dans le cadre de campagnes marketing. Ce que reprochent les Cnil européennes c’est la protection des données une fois qu’elles ont été récupérées ou opérées. Google les stocke sur ses serveurs, crée des sauvegardes, ou les traite pour travailler ses algorithmes, et elles transitent dans tout son réseau à travers le monde. Mais selon le RGPD, un responsable du traitement des données doit s’assurer de leur sécurité après les avoir récoltées. Et selon la Cnil, les données récupérées et transférées sont « en danger ». Pourquoi ? Car les services de renseignement américains peuvent y avoir accès. « Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données », indique la Cnil. En tant qu’utilisateurs de GA, les gestionnaires de sites sont donc enjoints de cesser le transfert de données hors UE « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE », indique-t-elle dans sa procédure.
Que viennent faire les services de renseignement dans l’affaire ?
Depuis la mise en place du Cloud Act aux Etats-Unis, les services de renseignements américains ont des droits étendus d’accès aux données des entreprises américaines, pour lutter contre le terrorisme. Dans le sillage des révélations du scandale de l’affaire Snowden, l’UE a voulu protéger les données de ces citoyens des regards extérieurs. Elle a mis en place plusieurs outils juridiques pour encadrer le transfert des données et s’assurer de leur protection, mais au bout du compte, aucun n’est suffisant. D’abord le Safe Harbour qui a été rendu caduc par l’arrêt Schrems I, en 2015, qui faisait suite à une première plainte de None Of Your Business. Remplacé par le Privacy Shield, en 2020, qui lui est tombé sous l’arrêt Schrems II. Sans cadre juridique, le transfert des données était toujours possible via des «clauses de contrats types» mais qui se réglaient au cas par cas et qui dans de nombreux cas, posaient tout de même problème. « In fine, même un nouvel accord permettra-t-il de s’assurer que les services de renseignement ne peuvent pas y avoir accès ?», s’interroge Merav Gruiguer, avocate spécialisée pour cabinet Bird & Bird. « N’est-ce pas le but des services de renseignements de se placer hors du cadre de la loi ?» s’interroge un autre expert juridique.
Pourquoi est-ce si difficile de trouver un accord ?
La question concerne les services de renseignement dans un monde qui se polarise de plus en plus, et avec des tensions croissantes notamment entre la Chine, la Russie et les Etats-Unis. Aucun pays n’a intérêt à laisser les autres venir observer ce qu’il se passe chez lui, mais aucun n’a intérêt à mettre un terme à une pratique actée depuis plusieurs années… D’autant que des accords bilatéraux peuvent avoir lieux comme ce fut le cas avec l’accord Facta, sur des échanges de données fiscales en 2015 entre la France et les Etats-Unis. Donc il ne s’agit pas de refus de principe. Chacun a simplement des intérêts divergents, parfois même au sein du même territoire. En Europe par exemple, «Google est aussi un important pourvoyeur de données des services de renseignements. Pas sûr que tout le monde ait apprécié la position de la Cnil », nous indique un spécialiste. Dans les négociations, ça compte…
Que se passe-t-il techniquement ?
Google Analytics récupère de nombreuses données. L’outil permet d’en anonymiser la plupart et ainsi de les masquer même des services américains. Le hic : l’adresse IP et l'identifiant utilisateur sur GA (appelé Client ID) sont les points névralgiques du raisonnement, selon plusieurs sources. Les raisonnements juridiques sont complexes et techniques, mais globalement, ils reviennent à dire que recueillir une adresse IP, avant même de l’anonymiser, est déjà un traitement de données au regard du RGPD. Donc lorsque Google les recueille, ces données transitent déjà sur un serveur américain. « Techniquement, si les services américains récupèrent une adresse IP ciblée par Google, ils peuvent remonter au surf de l’internaute », indique un spécialiste. Mais tout le monde n’est pas forcément d’accord sur cette interprétation.
Que peut faire Google ?
La société reste peu prolixe sur le sujet. « Il est temps de trouver un nouveau cadre juridique », a réagi le porte-parole de Google sur le sujet, Kent Walker, dans un long billet de blog appelant les deux pays à trouver un accord. La firme sait qu’elle se trouve aussi au milieu d’une question diplomatique et reste en retrait. Pourquoi Google ne localise pas ses data centers ailleurs qu’aux États-Unis ? La question serait vite réglée. Mais plusieurs points viennent s’opposer à cette solution. « Premièrement, la loi américaine est aussi extra-territoriale. Le fait qu’il s’agisse de serveurs européens pilotés par une entreprise américaine ne règle pas totalement la donne », explique un expert des Gafa. Lorsqu’on parle de « transfert », il s’agit davantage de transfert sur des serveurs opérés par une entreprise américaine que géographiquement située aux États-Unis. Deuxièmement, « ce serait une énorme modification d’infrastructures. Tout a été pensé pour ne pas avoir à dupliquer les sauvegardes, décrit Emmanuel Brunet, secrétaire général du Collectif pour les acteurs du marketing digital (CPA). Ce serait un chantier très long et un immense investissement, sans compter les coûts réguliers associés aux opérations.» Autrement dit, ça modifierait radicalement le modèle économique de la firme. « Sans compter que ce serait ouvrir une boîte de pandore, chaque territoire pouvant ensuite revendiquer, selon l’évolution de sa loi, sa propre infrastructure », continue-t-il. En attendant, la firme préfère investir massivement en influence légale et espérer que l’Europe change d’avis.
Que peut faire Google ?
La société reste peu prolixe sur le sujet. «Il est temps de trouver un nouveau cadre juridique», a réagi le porte-parole de Google sur le sujet, Kent Walker, dans un long billet de blog appelant les deux pays à trouver un accord. La firme sait qu’elle se trouve aussi au milieu d’une question diplomatique et reste en retrait. Pourquoi Google ne localise pas ses data centers ailleurs qu’aux Etats-Unis ? La question serait vite réglée. Mais plusieurs points viennent s’opposer à cette solution. «Premièrement, la loi américaine est aussi extra-territoriale. Dans les faits, qu’ils s’agissent de serveurs européens pilotés par une entreprise américaine ne règle pas totalement la donne», explique un expert des Gafa. Lorsqu’on parle de «transfert», il s’agit davantage de transfert sur des serveurs opérés par une entreprise américaine que géographiquement située aux Etats-Unis. Deuxièmement, «ce serait une énorme modification d’infrastructures. Tout a été pensé pour ne pas avoir à dupliquer les sauvegardes, décrit Emmanuel Brunet, secrétaire Général du Collectif pour les Acteurs du Marketing digital (CPA). Ce serait un chantier très long et un immense investissement, sans compter les coûts réguliers associés aux opérations», autrement dit ça modifierait radicalement le modèle économique de la firme. «Sans compter que ce serait ouvrir une boîte de pandore, chaque territoire pouvant ensuite revendiquer selon l’évolution de sa loi, sa propre infrastructure», continue-t-il. En attendant, la firme préfère investir massivement en influence légale et espérer que l’Europe ne change d’avis.
Pourquoi le problème est plus large ?
Au-delà de Google Analytics, « c’est toute la question du transfert des données sur des serveurs d’entreprises américaines qui est posée, pointe un représentant d’une grande entreprise américaine. Soixante-dix entreprises ont alerté sur l’impact potentiel de ce sujet sur leur business. » À l’instar de Meta qui le note depuis plusieurs années dans la partie « risque » de son rapport financier pour la poursuite de ses activités en Europe. Cette question appliquée à la lettre, c’est la simple utilisation d’un service américain qui pourrait se voir interdite en Europe. « Nous sommes clairement dans une cyberguerre. Toutes ces réglementations sont prises, adoptées et appliquées dans le but de mener une cyberguerre politique, scientifique et économique, affirme Merav Griguer, avocate spécialisée pour le cabinet Bird & Bird. Dans les faits, la Cnil a raison. Elle n’a pas sorti cette décision de son chapeau, et continue ici son travail pédagogique de protection des données personnelles. Mais la question que l’on peut se poser, c’est : Pourquoi se limiter aux États-Unis ? Pourquoi n’est-on pas aussi pointilleux avec d’autres pays comme la Chine ou la Russie ? »
En attendant certaines entreprises avaient anticipé la question des transferts de données. C’est le cas de Microsoft qui avait réalisé un Joint-Venture, baptisé Bleu, avec Orange et Cap Gemini, en mai 2021. En associant les outils d’analyse Microsoft sur des serveurs stockés en Europe, l’entreprise anticipait des difficultés liées au transfert de données.
Que peuvent faire les entreprises ?
« Ca va devenir compliqué », estime Merav Griguer. Légalement parlant, et selon leur utilisation de Google Analytics, les entreprises peuvent dans les faits, être sous le coup d’une mise en demeure de la Cnil. Faut-il attendre que les deux territoires trouvent un accord ? « Les deux parties vont bien finir par s’entendre, optimise l’avocate spécialisée. Mais rien ne garantit non plus que ce nouvel accord suffise», ce serait alors repousser le problème. Finalement, ne demande-t-on pas l’impossible en imposant de prouver que les services secrets ne peuvent pas avoir accès aux données ? Peut-on logiquement prouver que quelque chose n’adviendra jamais ?
Alors quelles alternatives ?
Le choix des alternatives va être compliqué. « Aucune n’est dimensionnée pour encaisser une telle surcharge de trafic si toutes les entreprises se mettent à changer en peu de temps », pointe Emmanuel Brunet. Rappelons qu’on parle de plus de 90% des sites web. «Cela demande un dimensionnement technique considérable pour apporter la même qualité de service à tout le monde» continue-t-il. Mais aussi la sécuriser. Cependant, les entreprises peuvent tout de même choisir dans un large choix entre différentes alternatives à Google Analytics. Une des plus connues est Matomo (anciennement Piwik), une alternative Opensource. Elle permet d’être hébergée sur le serveur que vous souhaitez, mais c’est à l’utilisateur de la sécuriser. On peut citer aussi Fathom Analytics, une solution canadienne, mais en Europe, les données sont stockées sur des serveurs européens (principalement en Allemagne…) D’autres commencent à sortir du bois avec chacune leurs avantages et leurs inconvénients. Mais encore une fois, rien ne dit que Google Analytics ne deviennent totalement interdit. « Il faut se faire accompagner pour savoir dans quelle utilisation cela peut être problématique », conseille Merav Griguer.