CNIL et Google Analytics : Interview de Maitre TESSONNEAU
Alexandre TESSONNEAU, avocat associé au sein du cabinet Squadra Avocats a accepté de répondre à nos questions dans une interview. Il est spécialiste des enjeux liés aux données personnelles et, plus généralement, aux domaines du numérique et de l’innovation.
Au programme de notre entrevue :
- Ce que le RGPD a changé pour les gestionnaires de sites,
- La détection des non-conformités par la CNIL,
- La mise en demeure de Google Analytics et les alternatives au géant Américain,
- La protection des données personnelles et la finalité des cookies,
- L’avancement des entreprises françaises dans leur mise en conformité et leur place par rapport aux autres pays européens.
Concrètement, qu’est-ce que le RGPD a changé pour les gestionnaires de site ?
En mai 2018, le RGPD semblait être une révolution mais en réalité, les principes de base du RGPD étaient déjà connus depuis 1978 en France.
La réglementation a surtout été l’occasion d’une réelle prise de conscience pour l’opinion publique. L’application de ces textes est beaucoup plus suivie aujourd’hui et les manquements à la réglementation sont plus sévèrement punis. D’un point de vue financier, le pouvoir d’amende est devenu beaucoup plus significatif avec des sanctions pécuniaires pouvant s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial pour une entreprise.
De mon point de vue, le principal risque est sur le terrain médiatique. Aujourd’hui, chaque sanction prononcée par la CNIL est largement relayée dans la presse et sur le net. Cela a un effet dévastateur pour les entreprises concernées en termes de réputation et d’image.
Pour les gestionnaires de site, c’est surtout la gestion des cookies qui a changé.
Sur le plan juridique, le RGPD a fait évoluer certains aspects de la réglementation applicable aux cookies.
Pour autant, les cookies font aussi l’objet d’une réglementation européenne spécifique. Pour éclaircir ce cadre juridique complexe, la CNIL a récemment précisé la manière dont elle interprète ces textes et les obligations auxquelles sont soumis les éditeurs de site web pour gérer les cookies et le recueil du consentement des internautes.
C’est la Directive ”ePrivacy”. Avant, l’information des internautes concernant le dépôt de cookies via un bandeau en bas de page était suffisante. L’internaute donnait tacitement son consentement au dépôt des cookies lorsqu’il poursuivait sa navigation sur le site web. Aujourd’hui, ce n’est plus suffisant.
L’objectif est d’obtenir un consentement explicite et donc informé de l’internaute, d’où l’apparition de nouvelles bannières ou pop-ups qui requièrent le fameux consentement aux cookies et qui vous informent plus ou moins précisément des différentes finalités poursuivies et des partenaires utilisés (Google, etc.).
Comment ça se passe quand la CNIL détecte une non-conformité ?
Cela dépend de la gravité des manquements. la CNIL peut:
- Clôturer la procédure,
- Prononcer une mise en demeure (rendue publique ou non) et sanctionner si celle-ci n’est pas respectée,
- Sanctionner directement l’organisme en cas de manquement sérieux.
La diffusion publique des mises en demeure ou sanctions et leur médiatisation constituent des sanctions supplémentaires pour l’entreprise.
Comment un contrôle est-il déclenché ?
Le cas le plus répandu, c’est un dépôt de plainte à la CNIL qui va provoquer une mission de contrôle et une enquête. Le nombre de plaintes augmente chaque année. Chaque année, la CNIL établit aussi un programme de contrôle, où elle désigne certains secteurs d’activités identifiés notamment en raison de leur impact sur la vie privée de nombreuses personnes. Elle réalise également des contrôles en fonction de l’actualité.
Enfin, les autorités de protection nationales de toute l’Europe coopèrent pour signaler de potentiels manquements au sein de l’UE.
Avec quelles sanctions à la clef ?
La CNIL peut donc prononcer des sanctions pécuniaires ou non (rappel à l’ordre, injonction sous astreinte, etc.). Elle use aussi de son pouvoir médiatique en choisissant de rendre publiques les mises en demeure ou sanctions prononcées.
Au lieu de recourir à Google Analytics, un gestionnaire de site pourrait recourir à un autre prestataire proposant une solution similaire, qui ne soit pas soumis à une juridiction extra-européenne ou bien encore soumis à une juridiction « adéquate ». Ceci permettrait d’éviter l’application d’une règlementation étrangère contraire au RGPD comme c’est le cas aux Etats-Unis. A cet égard, la CNIL a publié une liste de solutions de mesures d’audience qu’elle considère conformes au RGPD.
La CNIL a mis en demeure un gestionnaire de site pour l’utilisation de Google Analytics et le transfert de données aux US. Quelles seront les alternatives pour les gestionnaires de sites si l’utilisation de GA devient illégale ? Quelles seront les options pour Google afin de se mettre en conformité ?
Alternativement, il peut être attendu que Google modifie le fonctionnement de sa solution Analytics comme l’y a invité la CNIL, afin de limiter les possibilités d’accès des services de renseignement américains aux données collectées et traitées via ce service.
Enfin, la CNIL a présenté une solution technique permettant dès à présent de continuer à utiliser Analytics. Celle-ci passe par la mise en place d’un serveur proxy et d’une série de paramétrages, avec pour effet de rendre bien plus difficile le suivi individuel par les services de renseignement. La CNIL reconnait elle-même que cette solution, pouvant s’avérer lourde et coûteuse, n’est pas adaptée à toutes les situations. Le contexte est donc très évolutif et l’on peut s’attendre à de nouvelles prises de position à ce sujet par les parties concernées dans les mois à venir.
La CNIL impose une obligation de protéger les données personnelles des internautes. Comment procéder ?
Ce que le RGPD demande, c’est que les entreprises mettent en place des mesures organisationnelles et techniques, afin de protéger les données de tout individu qu’elles vont collecter et traiter, notamment lorsque ces individus naviguent sur internet
Ces mesures sont à adapter en fonction de la sensibilité des données, du secteur d’activité ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité. Les données collectées par un e-commerçant sur ses clients sont généralement moins sensibles que celles collectées par un laboratoire permettant à ses clients de consulter leurs examens médicaux en ligne.
Dès lors, la réglementation doit amener les entreprises à se poser les questions suivantes :
- Les données que je traite sont-elles sensibles ?
- Que se passerait-il si elles se retrouvaient dans la nature ?
- Quelles seraient les conséquences pour mes internautes ?
- Est-ce que les conséquences seraient négligeables, modérées ou potentiellement graves ?
Un gestionnaire de site peut convenir lui-même de la finalité d’un cookie avec pour conséquence de contourner le recueil de consentement. Comment est-ce géré par la CNIL ?
La nature des cookies sera évidemment examinée lors d’un contrôle par la CNIL. Sont soumis au consentement de l’internaute les cookies qui n’ont « pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique » ou qui ne sont pas « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ». La CNIL déterminera si le cookie en question est un cookie purement technique (authentification auprès d’un service, panier d’achat, personnalisation de l’interface ….), ou s’il poursuit une finalité autre qui le soumet au consentement préalable d’un internaute (publicité personnalisée, réseaux sociaux …).
Quel est le principal obstacle rencontré par les entreprises dans leur mise en conformité avec le RGPD ?
C’est l’évolution constante de la réglementation. Bien que le RGPD ait été négocié pendant 4 ans, et est applicable depuis mai 2018, le cadre juridique est loin d’être stabilisé, le suivi de ces évolutions relève parfois du défi. On peut donc aisément imaginer la difficulté pour de nombreuses entreprises d’intégrer toutes ces évolutions dans leur mise en conformité !
Le rôle pédagogique de la CNIL
Le site internet de la CNIL est particulièrement fourni en documentation librement accessible pour : expliquer les termes, les textes, les obligations des entreprises et prodiguer des modèles, des exemples ou recommandations.
La CNIL travaille également sur des packs de mise en conformité sectorielle (banque – assurance, santé, commerce – marketing, logement, etc.). Mais elle ne dispense pas de conseils individualisés à toutes les entreprises. Elle peut avoir un rôle d’accompagnement sur certaines problématiques techniques et précises, mais ce n’est pas sa vocation première.
C’est pour cela qu’un accompagnement juridique, en interne ou en externe, par un professionnel du droit peut s’avérer utile.
Pour terminer, où en sont les entreprises françaises dans leur mise en conformité avec le RGPD ?
D’un côté, il y a les multinationales qui ont entamé leur démarche de mise en conformité avant mai 2018 (date d’entrée en vigueur du RGPD), et qui sont donc plutôt bien avancées. Beaucoup sont occupées actuellement avec des sujets de maintien de la conformité des transferts de données hors de l’UE. Certaines s’attellent à de nouvelles problématiques relatives à la protection des données hors UE. Je pense notamment aux Etats-Unis, où l’État de Californie a mis en place une réglementation assez similaire au RGPD. Les initiatives de réglementations en matière de protection des données personnelles se multiplient dans le monde.
Et puis, il y a les entreprises de taille plus modeste et les PME. En fonction du secteur, certaines se sont prêtées à l’exercice de la mise en conformité au RGPD ou sont encore en cours et une partie a un peu abandonné. Quatre ans après l’entrée en vigueur du RGPD, j’observe encore beaucoup d’écarts de conformité et de mises à niveau nécessaires.
Comment nous situons-nous par rapport à nos voisins Européens ?
La réglementation relative à la vie privée et la protection des données personnelles s’harmonise en Europe même si d’autres Etats semblent y accorder moins d’importance.
En France, l’autorité de contrôle nationale c’est la CNIL. C’est une des autorités phares en Europe, à l’avant-garde et très écoutée par ses homologues. Elle est également très active sur le terrain répressif : le montant cumulé des amendes prononcées par la CNIL en 2021 atteint plus de 214 millions d’euros.