Après que le Contrôleur européen de la protection des données concernant le site du Parlement européen et l’autorité autrichienne visant l’éditeur d’un site web ait considéré que le service Google Analytics ne respectait pas le RGPD, voici que la CNIL leur emboite le pas.

Saisie de plaintes déposées par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis.

La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans ses conditions actuelles.

On ne connait pas l’identité de l’heureux élu mais il n’est que le premier flocon d’une véritable avalanche juridique au plan européen.

Il y a, en effet, fort à penser que les autres autorités de contrôle européennes en feront de même.

En pratique, la situation est grave pour les entreprises qui utilisent Google Analytics puisque ce sont elles qui se voient enjoindre par les autorités compétentes de ne plus utiliser ce service. En effet, les autorités de contrôle considèrent que c’est le responsable de traitement (donc l’éditeur de site web ou de la plateforme) qui doit choisir une solution conforme à la règlementation en vigueur. De fait, bien que ce soit le service Google Analytics qui soit visé, ce sont les entreprises utilisatrices qui se voient responsabilisées.

Comment réagir face à cette nouvelle situation ?

Il n’existe en pratique que deux options :

• Option 1 : Ne plus utiliser Google Analytics et se tourner vers une autre solution. Cette décision est sans doute la plus brutale, mais elle apparait comme la plus protectrice des intérêts des clients utilisateurs. Encore faudra-t-il, dans le cadre de cette option, procéder à la résiliation anticipée des contrats avec Google. Une telle résiliation pourrait être fondée sur les positions des autorités de contrôle et le risque juridique et financier pour le responsable de traitement.
• Option 2 : C’est une option plus réaliste, une option de « temporisation », qui consiste à continuer d’utiliser Google Analytics, mais de s’assurer de la parfaite coopération de Google en cas de contrôle ou de mise en demeure par la Cnil.

Se pose également, dans cette seconde option, une question importante relevant du capping de responsabilité des contrats conclus avec Google. En effet, tous les contrats concernant Google Analytics sont cappés avec des niveaux relativement faibles. Une entreprise (en qualité de responsable de traitement) qui se verrait condamnée par la Cnil pour avoir utilisé Google Analytics n’aurait, en l’état, que très peu de chance d’obtenir une réparation à la hauteur de sa condamnation en se retournant vers Google.

Le maintien du service Google Analytics pourrait donc être conditionné par :

1. Un engagement de Google de prendre dans les meilleurs délais des mesures de nature à rassurer les autorités européennes et d’en informer son client ;
2. Un engagement de coopérer de manière efficace avec tout client qui se verrait contrôler par la Cnil ;
3. Une suspension des clauses de limitation de responsabilité pendant le temps nécessaire à Google pour mettre en œuvre des mesures lui permettant d’assurer à ses clients une conformité de Google Analytics au RGPD.

Les éditeurs de site web ou de plateformes qui n’utiliseraient pas Google Analytics ne doivent pas s’en réjouir pour autant. En effet, c’est toute la « statosphère » qui fait l’objet aujourd’hui d’une étude par les autorités européennes et il y a tout lieu de penser que les déconvenues de Google Analytics soient aussi, à terme, celles de ses principaux concurrents.

La communication officielle de Google n’est pas nécessairement rassurante en indiquant avoir pris conscience de l’impact de ces décisions sur ses clients tout en maintenant que sa solution est conforme au RGPD : Au royaume des aveugles, les borgnes sont rois !