CONTACT

Non-conformité du transfert de données Google Analytics aux Etats-Unis selon l’autorité autrichienne de contrôle

22 février 2022 | Derriennic Associés|

Par une décision du 22 décembre 2021, l’autorité de contrôle autrichienne a estimé que le transfert hors UE de données à caractère personnel opéré par la solution Google Analytics est contraire au RGPD.

A la suite d’une plainte pour violation des principes généraux de transfert de données (articles 44 et suivants du RGPD), adressée le 18 aout 2020 à l’encontre de l’éditeur d’un site web et de Google, l’autorité de contrôle autrichienne s’est penchée sur l’utilisation de Google Analytics, et plus particulièrement sur les transferts de données hors Union Européenne que l’utilisation de cet outil engendre.

Google Analytics, outil de mesure du trafic de sites web, établit des rapports sur la fréquentation des sites et permet de mesurer et d’optimiser l’efficacité des campagnes publicitaires. Dans le cadre de l’utilisation de cet outil, des données sont transférées à Google aux Etats-Unis.

Après s’être déclarée compétente, l’autorité autrichienne de contrôle a d’abord vérifié que les données transitant par l’outil Google Analytics, et in fine transférées à Google en dehors de l’Union Européenne, répondent à la définition de données personnelles conformément à l’article 4 du RGPD.

L’autorité de contrôle a relevé qu’un identifiant unique (identifiant à la fois le navigateur et l’appareil de l’internaute) était créé lors de la connexion sur un site doté de Google Analytics. Selon l’autorité, dès lors que ce numéro d’identification permet d’individualiser les visiteurs, les données répondent à la définition de donnée personnelle posée par le RGPD.

L’autorité de contrôle a, ensuite, qualifié l’éditeur du site de responsable du traitement, ce dernier ayant décidé des finalités (analyses statistiques), des moyens de l’outil et ayant pris la décision d’implémenter l’outil sur son site en insérant un code JavaScript.

Google a, quant à lui, été qualifié de sous-traitant, dès lors qu’il se contente de fournir le service Google Analytics et n’exerce aucune influence sur les finalités et moyens.

L’autorité de contrôle a enfin, et surtout, contrôlé le respect, par l’exportateur de données, des dispositions du chapitre V du RGPD qui encadre « les transferts de données à caractère personnel vers des pays tiers ».

Après avoir rappelé que les transferts de données à caractère personnel vers les Etats-Unis ne font pas l’objet d’une décision d’adéquation au sens de l’article 45 du RGPD, et que la décision « Schrems II » de la CJUE a estimé que la signature de Clauses Contractuelles Types (« CCT ») ne permet pas de passer outre les programmes de surveillance étatique (notamment le FISA Act) et donc ne garantit donc pas un niveau de protection adéquat au sens de l’article 44 du RGPD, l’autorité de contrôle a vérifié si les mesures complémentaires mises en œuvre par l’éditeur du site web étaient suffisantes pour considérer le transfert de données comme assurant un niveau de protection adéquat.

Au terme d’une analyse in concreto des mesures complémentaires mises en œuvre par le responsable du traitement et son sous-traitant, l’autorité de contrôle a qualifié ces mesures d’inutiles et d’inefficaces, puisque ne permettant pas d’empêcher ou de limiter l’accès des agences américaines de renseignement aux données.

Selon l’autorité de contrôle autrichienne, les mesures contractuelles et organisationnelles – (i) « la notification des demandes de données à la personne concernée », (ii) « la publication d’une politique de gestion des demandes gouvernementales », et (iii) « l’examen minutieux de toute demande d’accès aux données » – sont inefficaces, dès lors qu’elles n’empêchent pas l’accès des autorités américaines aux données.

Les mesures techniques – la pseudonymisation, l’anonymisation et le chiffrement – ont également été remises en causes, chacune sur un fondement différent.

L’autorité de contrôle a estimé :

  • d’une part, que le fait que les données Google Analytics soient agrégées pour l’éditeur du site web (sous la forme de graphiques et de tableaux) ne constitue pas une pseudonymisation au sens du RGPD, d’autant plus que cet outil peut être cumulé avec d’autres outils (le compte Google de la personne par exemple) pour lever la pseudonymisation ;
  • d’autre part, que la fonction d’anonymisation de l’adresse IP, en plus de ne pas être correctement mise en œuvre, n’était pas suffisante pour considérer les données comme anonymes, car n’étant qu’une des nombreuses « pièces du puzzle » de « l’empreinte numérique du plaignant» ;
  • enfin, le fait que les données présentes dans les data center soient cryptées est insuffisant dès lors que Google est en possession de la clé de déchiffrement. Google a donc la possibilité d’accéder aux donnés en clair.

En conclusion, l’autorité de contrôle a estimé que « les « mesures complémentaires » en question ne sont pas efficaces, car elles ne comblent pas les lacunes de la protection juridique mises en évidence dans le cadre de l’arrêt de la CJUE du 20 juin 2020, c’est-à-dire les possibilités d’accès et de surveillance des services de renseignement américains ».

Source : Datenschutzbehörde – DSB (Autriche), 22 décembre 2021 – Lien vers la décision en allemand