Le Superviseur européen de la protection des données (« SEPD ») et l’Autorité autrichienne de protection des données ont tous deux récemment rendu une décision selon laquelle les transferts de données à caractère personnel vers Google LLC (US) induis par l’utilisation de l’outil Google Analytics sur les sites web du Parlement européen et d’une société située en Autriche (l' »opérateur du site web »), n’étaient pas conformes au RGPD.
En effet, ils ont considéré que malgré la conclusion de Clauses Contractuelles Types (CCT), il n’y avait pas de mesures supplémentaires en place qui pouvaient empêcher les autorités américaines d’accéder aux données.
Ces décisions découlent de l’arrêt de la Cour de justice européenne de juillet 2020 « Schrems 2 » qui exige que des mesures supplémentaires soient mises en œuvre lorsque les parties concluent des Clauses Contractuelles Types pour encadrer un transfert de données personnelles vers les Etats-Unis.
Cependant, la Cour européenne n’a pas défini dans son arrêt quelles pourraient être ces mesures et a laissé aux organisations la charge d’évaluer le régime juridique des pays tiers et de définir quelles pourraient être ces mesures supplémentaires.
Dans cet article, et bien que le résultat de ces décisions soit similaire, nous nous concentrerons sur la décision de l’autorité autrichienne de protection des données car, contrairement à la décision du CEPD, elle fournit une analyse plus détaillée des exigences de l’autorité pour que ces mesures supplémentaires soient valables.
1. Informations générales
1.2. Qu’est-ce que Google Analytics ?
Google Analytics est un outil permettant de suivre la navigation des visiteurs sur un site web.
Les informations sont collectées grâce à des cookies/traceurs mis en place par l’exploitant du site web, sont accessibles via un tableau de bord et sont utilisées à des fins de statistiques et d’évaluation.
Toutefois, afin de mettre les informations à la disposition de l’exploitant du site Web, Google LLC héberge les informations dans ses serveurs basés aux États-Unis et il semble que Google LLC puisse également utiliser ces informations à d’autres fins, encore indéterminées (dans la présente décision).
1.3. Que doit-on faire lorsque des données à caractère personnel sont transférées aux États-Unis ?
L’hébergement de données et la réutilisation éventuelle de ces données à d’autres fins par une société établie aux États-Unis constituent un transfert de données à caractère personnel en dehors de l’UE.
Les États-Unis n’étant pas considérés comme offrant un niveau de protection adéquat par la Commission européenne, il est nécessaire d’encadrer le transfert de données par des garanties adéquates telles que les clauses contractuelles types (CCT).
A cet effet, la CJUE, dans sa décision Schrems 2 de juillet 2020, a déclaré « […] Par leur nature, les clauses types de protection des données ne peuvent offrir de garanties allant au-delà de l’obligation contractuelle d’assurer le respect du niveau de protection requis par le droit de l’Union […] » et elle « […] En fonction de la situation dans un pays tiers donné, il peut être nécessaire que le responsable du traitement prenne des mesures supplémentaires pour assurer le respect de ce niveau de protection ».
À cet égard, elle a également jugé que les programmes de surveillance du gouvernement américain – fondés sur la section 702 de la FISA et l’EO 12333 en liaison avec le PPD-28 – n’offraient pas un niveau de protection adéquat pour les personnes physiques et exigeaient que des mesures supplémentaires soient mises en œuvre lorsqu’une organisation souhaite transférer des données aux États-Unis.
Cependant, la Cour européenne n’a pas défini quelles pouvaient être ces mesures et les organisations ne pouvaient que s’appuyer sur les directives du CEPD.
2. Le transfert vers les États-Unis est illégal tant que les mesures supplémentaires ne peuvent empêcher les autorités américaines d’accéder aux données
2.2. Les autorités américaines peuvent forcer Google à donner accès aux données personnelles transférées
Dans sa décision, l’autorité autrichienne de protection des données a considéré que :
- L’exploitant du site web, agissant en tant que responsable du traitement, a communiqué les données à Google LLC en utilisant de manière proactive l’outil Google Analytics (qui agit en tant que sous-traitant, bien que l’autorité ait précisé que ces considérations étaient faites sans préjudice du rôle de Google concernant les opérations ultérieures de traitement des données effectuées aux États-Unis).
- Les données collectées étaient des données à caractère personnel et ont été transférées à Google aux États-Unis à des fins d’hébergement et à d’autres fins (non définies).
- En vertu de la législation américaine, Google LLC demeure contraint de fournir des données personnelles aux autorités américaines sur demande, ce qui est en contradiction avec le contenu des CCT.
Par conséquent, des mesures supplémentaires doivent être mises en œuvre pour empêcher un tel accès.
2.3. Si la mesure supplémentaire ne comble pas l’écart entre le système juridique de l’UE et celui des États-Unis, le transfert ne doit pas avoir lieu
Selon les recommandations du Comité européen de protection des données ( CEPD ), les » mesures supplémentaires » au sens de l’arrêt de la CJUE du 16 juillet 2020 peuvent être de nature contractuelle, technique ou organisationnelle.
Toutefois, l’exportateur de données doit déterminer si et dans quelle mesure ces mesures comblent précisément les écarts de protection juridique entre l’UE et le système juridique du pays tiers.
S’il n’est finalement pas possible pour l’exportateur de données d’atteindre un niveau de protection essentiellement équivalent, l’exportateur ne peut pas transmettre les données à caractère personnel.
2.4. Les mesures mises en œuvre par Google n’étaient pas suffisantes pour empêcher les autorités américaines d’accéder aux données
Dans le cas présent, l’autorité autrichienne a évalué si les mesures mises en œuvre par Google et l’opérateur du site web pouvaient empêcher l’autorité américaine d’accéder aux données.
Les mesures contractuelles et organisationnelles mises en œuvre par Google ont été jugées non pertinentes pour cette affaire et, par conséquent, l’autorité s’est concentrée plus spécifiquement sur les mesures techniques que Google avait mises en œuvre.
Google avait mis en œuvre des mesures techniques telles que la pseudonimisation, l’anonymisation de l’adresse IP et le chiffrement des données.
Toutefois, l’autorité de protection des données a souligné que la loi américaine sur le renseignement prévoit que l’importateur de données a l’obligation d’accorder l’accès ou de libérer les données qu’il traite. Cette obligation peut contraindre le sous-traitant à remettre la clé de chiffrement.
Par conséquent, l’Autorité a estimé que « tant que Google a la possibilité d’accéder aux données en texte clair, les mesures techniques ne peuvent être considérées comme efficaces ».
En outre, elle n’a considéré ni la pseudonymisation des données ni l’anonymisation des adresses IP comme efficaces dans la mesure où ces mesures ne suffisaient pas pour anonymiser complètement les données.
Conclusion
Pour que des mesures supplémentaires soient considérées comme valables lors du transfert de données vers les Etats-Unis, il semble que :
- L’anonymisation complète ou le chiffrement par l’exportateur (et non l’importateur) pourrait être une solution pour transférer des données vers les États-Unis. Le Conseil d’Etat français avait déjà ouvert la porte à de telles possibilités (voir ici).
- Si vous utilisez Google Analytics, le moyen le plus sûr d’être en conformité avec le RGPD à l’heure actuelle est de changer votre outil d’analyse pour des outils européens. Cependant, c’est plus facile à dire qu’à faire… Google LLC fera certainement les changements nécessaires pour s’assurer que Google Analytics ne transfère pas de données vers les États-Unis.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
Cette publication est également disponible en en_GB.