Protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles
Qu’est-ce qu’une donnée personnelle ?
Coronavirus (COVID-19)
Les décisions de la CNIL sur Légifrance
Retour sur l’histoire de la CNIL
Suivre le Mooc RGPD
Coronavirus (COVID-19)
Les décisions de la CNIL sur Légifrance
Retour sur l’histoire de la CNIL
Le 10 février 2022, la CNIL, après un processus de coopération avec ses homologues européens, a mis en demeure plusieurs organismes utilisant Google Analytics en raison des transferts illégaux de données vers les États-Unis. L’utilisation d’un proxy correctement configuré peut, cependant, constituer une solution opérationnelle pour limiter les risques pour les personnes.
La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a invalidé le Privacy Shield, dispositif qui permettait un encadrement des transferts de données personnelles entre l’Union européenne et les États-Unis. La législation états-unienne n’offre, en effet, pas de garanties suffisantes face au risque d’accès par les autorités, notamment les services de renseignement, aux données personnelles de résidents européens.
À la suite de cet arrêt, la CNIL avait été saisie de plusieurs plaintes, déposées par l’association NOYB, mettant en cause l’utilisation par des sociétés françaises de l’outil de mesure d’audience des sites web Google Analytics, édité aux États-Unis. Statuant sur ces plaintes, la CNIL a estimé qu’elles étaient fondées et a mis en demeure les sociétés en cause de se mettre en conformité.
Dans ces décisions (dont une version anonymisée a été publiée le 10 février 2022), la CNIL a estimé que l’utilisation de Google Analytics entraînait, en l’état, des transferts vers les États-Unis insuffisamment encadrés.
Comme rappelé dans la FAQ de la CNIL à ce sujet, la simple mise en œuvre de clauses contractuelles types n’est pas suffisante pour utiliser Google Analytics en conformité avec le RGPD.
À la suite de ces mises en demeure, de nombreux acteurs ont cherché à identifier les paramétrages et mesures techniques pouvant permettre de continuer à utiliser Google Analytics tout en respectant la vie privée des internautes.
Sur ce point, la seule modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas à satisfaire les exigences de la CJUE, notamment car ces dernières continuent à être transférées aux États-Unis. Une autre idée souvent avancée est celle du recours au « chiffrement » de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site. Toutefois, en pratique, cela n’apporte que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement du fait de la persistance du traitement de l’adresse IP par Google.
La problématique fondamentale qui empêche ces mesures de répondre à la problématique de l’accès aux données par des autorités extra-européennes est celle du contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google.
Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.
Seules des solutions permettant de rompre ce contact entre le terminal et le serveur peuvent répondre à cette problématique. Au-delà du cas de Google Analytics, ce type de solution pourra également permettre de concilier l’usage d’autres outils de mesure avec les règles du RGPD sur le transfert de données.
Au vu des critères évoqués précédemment, une solution possible est celle de l’utilisation d’un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure (donc en l’espèce de Google). Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021. En effet, un tel dispositif correspondrait au cas d’usage de la pseudonymisation avant export de données.
Comme indiqué dans ces recommandations, un tel export n’est possible que si le responsable du traitement a établi, au moyen d’une analyse approfondie, que les données personnelles pseudonymisées ne peuvent être attribuées à une personne physique identifiée ou identifiable, même si elles sont recoupées avec d’autres informations.
Il s’agit donc, au-delà de la simple absence de requête depuis le terminal de l’utilisateur vers les serveurs de l’outil de mesure, de s’assurer que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne, même en prenant en compte les moyens conséquents dont disposent les autorités susceptibles de vouloir procéder à une telle réidentification.
À noter
La mise en œuvre des mesures décrites ci-dessous peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels.
Pour éviter ces difficultés, il est également possible pour les professionnels de recourir à une solution ne réalisant pas de transferts de données personnelles en dehors de l’Union européenne.
Le serveur procédant à la proxyfication devra donc mettre en œuvre un ensemble de mesures permettant de limiter les données transférées. La CNIL considère, en principe, comme nécessaire :
Le serveur de proxyfication devra aussi être hébergé dans des conditions permettant de garantir que les données qu’il sera amené à traiter ne seront pas transférées hors de l’Union européenne vers un pays n’assurant pas un niveau essentiellement équivalent à celui prévu dans l’Espace économique européen.
En tout état de cause, et conformément aux recommandations du CEPD, il reviendra aux responsables de traitement de procéder à une analyse sur ce point et de mettre en place les mesures nécessaires dans le cas où ils souhaitent utiliser ce type de solutions, ainsi que de vérifier le maintien de ces mesures dans le temps, au gré des évolutions des produits.
Votre adresse de messagerie est uniquement utilisée pour vous envoyer les lettres d’information de la CNIL. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. En savoir plus sur la gestion de vos données et vos droits
Commission Nationale de l’Informatique et des Libertés
