C’est un nouveau chapitre, potentiellement lourd de conséquences, dans l’histoire déjà longue des batailles juridiques autour des transferts de données personnelles depuis l’Europe vers les Etats-Unis. Il y a deux semaines, l’autorité autrichienne de protection des données personnelles, la Datenschutzbehörde (DSB), avait jugé contraire au droit européen l’utilisation par un site web de Google Analytics, l’outil d’analyse d’audience et de comportement en ligne, gratuit et extrêmement populaire, développé par le géant de Mountain View. Ce jeudi, c’est au tour de son homologue française, la Commission nationale de l’informatique et des libertés (Cnil), de mettre en demeure un gestionnaire de site, non nommé, pour la même raison : «Les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les Etats-Unis», jusqu’aux serveurs de Google, sont «illégales», explique dans son communiqué le gendarme de la vie privée.

Ces décisions autrichienne et française font suite à une série de recours intentés par une ONG basée à Vienne (Autriche), lancée il y a cinq ans par le juriste et militant Max Schrems, figure de la lutte pour la protection des données personnelles : Noyb, pour None of Your Business («cela ne vous regarde pas»). A l’été 2020, Schrems a remporté une bataille majeure, et de longue haleine : la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield («bouclier de confidentialité»), l’accord-cadre entre l’Europe et les Etats-Unis sur les transferts de données personnelles depuis le Vieux Continent. Dans l’arrêt dit «Schrems II», les magistrats de Luxembourg, s’appuyant sur les révélations d’Edward Snowden sur les pratiques de la NSA, ont jugé le Privacy Shield insuffisant au regard du risque que les services de renseignement américains accèdent aux données de citoyens européens. L’encadrement des transferts transatlantiques était dès lors renvoyé à des «clauses contractuelles», censées offrir des protections suffisantes. Suite à cet arrêt «Schrems II», Noyb a déposé pas moins de 101 plaintes, dans tous les Etats membres de l’UE.

C’est dans ce cadre que la Cnil et ses homologues ont été amenées à décortiquer le fonctionnement et les conditions d’utilisation de Google Analytics. L’outil, explique la commission, attribue à chaque visiteur un identifiant unique, «qui constitue une donnée personnelle» ; cet identifiant – équivalent d’un pseudonyme – est transféré aux Etats-Unis avec «les données qui lui sont associées». Or, «si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignement américains à ces données», tacle la Cnil. Conclusion : à la lumière de l’arrêt «Schrems II», le géant californien est hors des clous du règlement général sur la protection des données (RGPD), le cadre européen en la matière.

Le gestionnaire de site web visé par la mise en demeure a désormais un mois pour «se mettre en conformité» avec le RGPD, «si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics». Mais la distribution de mauvais points ne fait que commencer : le gendarme français de la vie privée précise en effet que «d’autres procédures de mises en demeure ont été engagées […] à l’encontre de gestionnaires de sites utilisant Google Analytics». Et que les travaux des 27 autorités de protection des données personnelles en Europe s’étendent à «d’autres outils […] qui donnent lieu à des transferts de données d’internautes européens vers les Etats-Unis». De fait, les recours déposés par Noyb concernent aussi Facebook Connect, l’outil qui permet de se connecter à un site web en utilisant son compte Facebook. En France, cinq sites sont visés pour l’utilisation de Google Analytics ou de Facebook Connect, dont ceux du Huffington Post, de Decathlon ou d’Auchan.

L’affaire ne laisse d’ailleurs pas d’inquiéter les mastodontes américains du numérique : suite à la décision autrichienne, le responsable mondial des affaires publiques de Google s’était fendu d’une déclaration, affirmant qu’aucune demande des autorités américaines n’avait porté sur les données recueillies via Google Analytics. De son côté, Max Schrems se félicite de la décision française. Et a de nouveau enfoncé le clou : «Nous avons besoin de protections appropriées aux Etats-Unis, sinon nous nous retrouverons à long terme avec des produits différents pour les Etats-Unis et pour l’Union européenne. Personnellement, je préférerais de meilleures protections aux Etats-Unis, mais c’est du ressort du législateur américain, pas de qui que ce soit en Europe.»