Coup sur coup, deux autorités de contrôle européenne viennent de déclarer illégal l’usage de Google Analytics, compte-tenu des transferts de données vers les Etats-Unis opérés par cet outil. La première décision a été rendue fin décembre par la DSB autrichienne, et la seconde a été prise par la CNIL française, le 10 février 2022. Dans le cas de la CNIL, la décision prend la forme d’une mise en demeure adressée à un « gestionnaire de site web français » de ne plus utiliser la fonctionnalité Google Analytics.
La mise en demeure formulée par la CNIL s’inscrit logiquement dans la continuité de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne du 16 juillet 2020. Pour mémoire, celui-ci avait estimé que la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, des données personnelles transférées depuis l’Union européenne vers les États-Unis, ne présentait pas de garantie suffisante au regard du RGPD.
Depuis l’entrée en vigueur du fameux Règlement Général sur la Protection des Données (RGPD) en mai 2018, les données à caractère personnel collectées auprès de ressortissants communautaires ne peuvent être transférées hors de l’Union européenne, qu’en s’appuyant sur un des mécanismes suivants : 1) le pays de destination présente des garanties légales comparables à celles en vigueur au sein de l’Union européenne et a fait l’objet d’une « décision d’adéquation » prise par la Commission européenne ; 2) l’entreprise qui exporte les données et celle qui les importe ont signé des « règles d’entreprise contraignantes » et celles-ci ont été validées par une autorité de contrôle ; 3) l’entreprise qui exporte les données et celle qui les importe ont conclu des « clauses contractuelles types » selon le modèle rédigé par la Commission européenne. L’idée sous-jacente à ces différents mécanismes est qu’imposer une réglementation stricte en Europe n’a pas d’intérêt, si les données des citoyens européens peuvent ensuite être traitées sans aucun garde-fou lorsqu’elles sont exportées en dehors de l’Union.
L’arrêt Schrem II rappelle – de façon parfaitement logique – que la signature par l’entreprise importatrice de BCR ou de CCT ne sert à rien, si l’Etat dont elle dépend dispose de la possibilité d’accéder aux données importées, sans aucune garantie judiciaire ou de manière parfaitement arbitraire. Dès lors, les BCR et les CCT ne peuvent être conclues, qu’après qu’une analyse détaillée de la législation en place ait été effectuée.
Cette obligation rend ainsi extrêmement hypothétique la licéité des BCR et des CCT, car peu d’entreprises peuvent se permettre de faire une analyse approfondie et impartiale de la réglementation en vigueur dans l’Etat destinataire.
S’agissant des Etats-Unis, l’analyse de la règlementation n’a plus à être menée, puisque la Cour de justice a estimé que les autorités publiques y disposent, dans le cadre des lois prises pour la lutte contre le terrorisme, d’un droit d’ingérence insuffisamment encadré.
La suite logique de Shrem II était donc de considérer qu’un transfert de données effectué dans le cadre de CCT vers les Etats-Unis ne pouvait être autorisé, la règlementation locale permettant de mettre en échec les clauses contractuelles.
C’est ce qu’ont jugé la DSB et la CNIL en estimant que le transfert de données effectué via Google Analytics devait être interdit, dès lors que celui-ci s’appuie sur les CCT telles que mentionnées par Google dans sa charte de confidentialité (CADRES LÉGAUX POUR LES TRANSFERTS DE DONNÉES).
Et maintenant ?
Si la décision était attendue et paraît parfaitement conforme au RGPD, ses conséquences n’en sont pas moins radicales.
En effet, le raisonnement tenu pour Google Analytics peut être étendu à l’ensemble des outils de Google Workplace, très utilisés en entreprise. Il peut bien évidemment également être étendu à l’ensemble des entreprises américaines. Un rapide coup d’œil aux conditions générales de la plupart des outils utilisés quotidiennement par les professionnels et le grand public, permet en effet de constater que ces conditions incluent toutes des CCT. La logique voudrait donc que les entreprises n’utilisent plus Office 365 (Clauses contractuelles types de l’Union européenne), Apple (Engagement de confidentialité d’Apple), IBM (IBM Statement on Schrems Decision and Standard Contractual Clauses) etc.
Il est par ailleurs singulier de constater que les Etats-Unis sont devenus aujourd’hui, aux yeux du régulateur européen, le symbole des nations où le droit des individus au respect de leurs données est bafoué au point d’interdire le traitement de données en provenance de l’Europe.
La réalité est que la décision Schrem II implique qu’une analyse de la législation locale soit faite avant tout transfert, quel que soit l’Etat de destination. Si les transferts vers les Etats-Unis accaparent l’attention, c’est évidemment du fait de leur importance économique. Cela ne doit cependant pas faire oublier que de nombreuses entreprises situées hors de l’Union européenne, relèvent de législations locales où le respect des données personnelles est loin d’être une priorité. Il peut ainsi apparaître inadéquat, que seules les entreprises américaines soient sanctionnées, alors que les problématiques identifiées se retrouvent certainement de manière encore plus présente dans de nombreuses autres législations.
Quelle solution ?
S’agissant des Etats-Unis, ceux-ci pourraient tenter de faire évoluer leur réglementation afin de la rendre compatible avec les exigences du RGPD. Il n’est cependant pas sûr que cette évolution soit politiquement envisageable.
Du côté des autorités de contrôle européennes, la jurisprudence pourrait également être assouplie, afin d’analyser de manière moins stricte la compatibilité entre la réglementation américaine et le RGPD.
Enfin, il est toujours possible d’invoquer les autres exceptions prévues par le RGPD telles qu’énoncées à son article 49, (en particulier, consentement explicite au transfert, et transfert nécessaire à l’exécution d’un contrat), mais l’expérience a montré que ces exceptions sont souvent difficiles à mettre en œuvre.
