Google Analytics ou la fuite de nos données personnelles via les cookies ? Réponse via l’analyse du cadre légal et des opinions des autorités régulatrices en France et en Allemagne. (Par Tiphaine Chellabi)
Ne vous êtes-vous jamais demandé d’où venaient toutes ces publicités ciblées sur nos écrans ? Tapez « adssettings » [1] sur votre moteur de recherche, vous serez surpris du résultat, plutôt…de votre profil d’internaute créé par Google. De la même façon, la personnalisation est créée via une action a priori anodine que l’on effectue sur chaque site web, sous la bannière « nous utilisons des cookies »[2], puis par ce choix cornélien « accepter » ou « refuser ». Les cookies, ces « petits fichiers stockés » dans nos ordinateurs ou téléphones[3], jouent un rôle-clé dans l’affichage de nos annonces publicitaires. Par l’intermédiaire de ces traceurs, nous livrons de nombreuses informations personnelles, qui sont (ré)utilisées et analysées par les sites web le plus souvent grâce à la puissante fonctionnalité Analytics du géant numérique Google. À l’aide de ses cookies, Google Analytics peut aisément fournir des statistiques sur l’activité des utilisateurs (nombre de visiteurs, temps de lecture, date de connexion, pages consultées, actions effectuées, …)[4] et établir un profil d’internaute. Mais que cachent ces cookies publicitaires ? Posent-ils un problème au regard des données personnelles récupérées par les serveurs de Google ? C’est ce que nous allons analyser à travers une perspective comparée en droit du numérique allemand et français.
Google Analytics est l’outil d’analyse web le plus répandu dans le monde. Cette fonctionnalité est certes gratuite pour les sites web et peut permettre d’améliorer les performances du site. Mais cela n’est pas gratuit pour les utilisateurs français et allemands. Les cookies de Google Analytics récoltent massivement, de manière continue, les données personnelles des internautes, afin de réaliser de la publicité ciblée. Mais, jusque-là, cette pratique n’est pas interdite en droit allemand et français.
Afin d’assurer une meilleure protection des utilisateurs européens dans leurs communications en ligne, la directive « ePrivacy »[5] ou « Directive Cookie [6]» depuis 2009, impose, en matière de cookies, le consentement explicite de l’utilisateur à la récolte de leurs données en ligne.[7] Contrairement à la France, la Directive Cookie n’a été transposée que tardivement en Allemagne. Puis, en 2018, le Règlement Général sur la Protection des Données dit « RGPD » est venu instaurer un haut niveau de protection pour le traitement de données à caractère personnel dans l’UE (Union européenne). Or, à cet égard, le cas de Google Analytics a suscité de sérieux doutes en France et en Allemagne. La CNIL[8] et les autorités de contrôle allemandes se sont en effet questionnées sur la conformité de l’utilisation de Google Analytics.
Ainsi, on se posera la question suivante : l’utilisation de Google Analytics est-elle contestable en France et en Allemagne au regard des règles de protection des données personnelles ?
Et le problème n’est pas seulement la récupération des données personnelles par Google, c’est également celui de leur transfert vers les États-Unis pour leur traitement.[9]
Partant, nous expliquerons d’abord que les cookies sont encadrés par le droit européen qui impose en France et en Allemagne le consentement de l’utilisateur pour les cookies publicitaires tels que ceux de Google Analytics (I). Puis, seront présentées les opinions des autorités régulatrices quant à l’utilisation de Google Analytics, autrement dit le constat commun de l’illégalité du transfert des données personnelles vers les États-Unis (II).
I. Le droit européen comme cadre légal applicable aux cookies : le consentement de l’utilisateur imposé en France et en Allemagne pour l’emploi de cookies publicitaires tels que ceux de Google Analytics
Tout d’abord, le dépôt de cookies servant au stockage de données personnelles est encadré par la directive européenne ePrivacy. Cette dernière a été transposée de manière différée en France et en Allemagne (A). Il faut ensuite noter que les cookies employés par Google Analytics sont des cookies publicitaires, c’est-à-dire des cookies de suivi nécessitant le consentement des utilisateurs en vertu du droit européen (B).
A) L’application différée de la directive ePrivacy en France et en Allemagne
En 2002, la directive ePrivacy a renforcé la protection des citoyens européens lors de communications en ligne, notamment lorsque les sites web enregistraient les données des utilisateurs via leurs cookies. En effet, l’article 5 §3 de cette directive prévoyait l’autorisation de stockage d’informations par les cookies, uniquement si l'internaute était préalablement informé de manière « claire et complète », notamment sur les finalités du traitement et sur la possibilité de refuser ce traitement. Cependant, s’agissant d’une solution « opt-out »[10], l’utilisateur ne pouvait refuser les cookies qu’après leur installation sur son terminal. Ceci explique l’amendement de la directive en 2009. Cette nouvelle « Directive cookie » prévoit désormais un dispositif « opt-in » exigeant, en plus de l’information, le consentement de l’utilisateur avant la mise en place des cookies. Ce principe est alors devenu extrêmement important en France et en Allemagne pour vérifier la conformité des cookies déposés sur les sites web, tout particulièrement ceux installés par Google Analytics.
Toutefois, il a fallu transposer cette directive dans le droit national jusqu’au 25 mai 2011.[11] Or, si cela s’est fait très rapidement en droit français (article 82 de la loi LIL[12]), la transposition a été particulièrement longue en Allemagne. En effet, cette transposition était controversée. L’arrêt Planet49 de la CJUE [13]avait pourtant été repris par la Bundesgerichtshof[14] (Cour Fédérale de Justice) en 2020 en estimant que l’article 15 § 3 de la loi TMG[15] n’était conforme à la directive que si le consentement sous la forme de opt-in était prévu, sans cases cochée de manière prédéfinie, et ce, peu importe si les informations impliquées étaient ou non des données à caractère personnel.[16] Ce n’est donc qu’en 2021 que l’Allemagne a décidé d’inclure le consentement obligatoire à l’article 25 de la loi TTDSG,[17] ce qui est plutôt regrettable au regard du contrôle des cookies de Google Analytics.
B) La nécessité du consentement des utilisateurs pour les cookies de suivi comme ceux de Google Analytics
Il existe différents types de cookies dont certains ne nécessitant pas de consentement de la part de l’utilisateur (art. 5, al. 3, p. 2 de la directive e-Privacy). À cet égard, la CNIL évoque les cookies « servant aux opérations de lecture ou d'écriture », par exemple un cookie de préférence de langue.[18] On cite également en Allemagne, les cookies nécessaires à l'exécution de fonctions spécifiques d'un site web, comme pour le « stockage de produits dans le panier d'achat ».[19] À l’opposé, les cookies « non essentiels », « non nécessaires au fonctionnement du site », renvoient aux « cookies publicitaires ».[20] Or, tout comme la CNIL, l’autorité de contrôle bavaroise classe les cookies de Google Analytics dans cette catégorie, plus particulièrement dans celle des « tracking-cookies » (cookies de suivi). Les données récoltées sont en effet transmises à des organismes publicitaires afin d'établir un « profil Internet » de l’internaute visitant le site utilisant la fonctionnalité de Google.[21] Google Analytics est à chaque fois cité par les autorités allemandes, parmi les exemples d’outils employant ces cookies publicitaires.
Il faut alors souligner que ces cookies nécessitent le consentement des utilisateurs en vertu de la directive susmentionnée. La plupart des autorités de contrôle allemandes[22] emploient par ailleurs souvent la formulation « nur mit Einwilligung » (« qu’avec le consentement ») en référence à l’utilisation de Google Analytics. La CNIL recommande de son côté d’utiliser des statistiques anonymes afin d’être exempté de consentement.[23] Le consentement est ainsi un élément central pris en compte dans l’analyse de la conformité de Google Analytics.
La CNIL a été particulièrement attentive à la question de la conformité de la fonctionnalité Analytics, à l’instar des autorités de contrôle allemandes. Les autorités régulatrices ont-elles une opinion tranchée sur la légalité de l’utilisation de Google Analytics ? Quel est leur constat ?
II – Les opinions des autorités régulatrices sur l’utilisation de Google Analytics : un constat commun de l’illégalité du transfert des données personnelles des cookies vers les États-Unis
L’utilisation de Google Analytics est fortement contestée par la CNIL et les autorités de contrôle allemandes depuis l’arrêt Schrems II de la CJUE (A), mais également en l’absence de niveau de protection des données substantiellement équivalent à celui de l’UE (B).
A) Une utilisation contestée depuis l’arrêt Schrems II de la CJUE
La CJUE (Cour de Justice de l’Union Européenne) a rendu un arrêt important le 16 juillet 2020.[24] Cela a entraîné des conséquences significatives en Allemagne et en France. En effet, l'accord-cadre de protection des données entre l’UE et les États-Unis dit « Privacy Shield » y a été invalidé. La transmission de données personnelles vers les États-Unis a alors été considérée comme contraire aux exigences européennes.
En effet, le Règlement Général sur la Protection des Données ou « RGPD [25]», est applicable directement en droit français[26] et allemand[27] depuis 2018. Ce règlement offre un cadre de protection complet des données personnelles. De nombreux principes figuraient déjà dans la loi française LIL, le chapitre II de la BDSG y est entièrement consacré. Si les cookies ne sont cités qu’une seule fois au considérant 30 dudit règlement en tant que « témoins de connexion », pouvant créer des profils d’utilisateurs, le cas des cookies de Google Analytics y est inclus. En effet, il est cité dans ce considérant que sont visés les cookies récoltant des informations sur les internautes comme leur adresses IP, leurs identifiants ou encore leur localisation. Or, de telles informations se rapportent « à une personne physique identifiée ou identifiable », selon les termes de l’article 4 Nr.1 du RGPD. Le traitement de telles données issues de cookies est ainsi encadré par le RGPD. La CNIL a par ailleurs confirmé l’application de ce règlement aux cookies stockant des données personnelles.[28]
À la suite la décision de la CJUE, l'association NOYB du célèbre juriste militant Max Schrems a déposé 101 plaintes dans l’UE, contre des entreprises utilisant Google Analytics.[29] Cela a notamment donné lieu à une décision notable de la CNIL, le 10 février 2022. La CNIL avait alors mis en demeure un gestionnaire web de ne plus utiliser Google Analytics.[30] En effet, Google transfère les données personnelles de ses cookies vers ses serveurs localisés aux États-Unis. Or, le chapitre V du RGPD traite des transferts des données personnelles vers des pays-tiers (articles 44 et suivants[31]). Ceux-ci sont autorisés sous certaines conditions, sauf en cas d’exceptions prévues à l’article 49 dudit règlement. À ce sujet, la CNIL relève que le transfert de données par Google ne respecte par l’article 45 du RGPD, en l’absence d’une décision d’adéquation avec les États-Unis, qui a été annulée par la CJUE. Bien que les autorités allemandes n’aient pas encore publié de décision, celles-ci estiment que de tels transferts vers les États-Unis ne sont autorisés que si les données sont « rendues anonymes ou cryptées de manière à ce que la clé de chiffrement soit détenue par l'exportateur de données dans l'UE et que la clé de chiffrement ne soit pas transmise aux États-Unis ».[32]
B) L’illégalité en l’absence d’un niveau de protection des données substantiellement équivalent à celui de l’UE
De plus, comme il n’existe plus de bouclier de protection avec les États-Unis, les transferts de données vers les États-Unis ne remplissent actuellement pas les standards minimums du RGPD. Les traitements de données issues des cookies doivent respecter un certain nombre de principes prévus au chapitre II du règlement telles que la « pseudonymisation » et l’ « anonymisation » des données. Or, comme souligné par la CNIL, les données personnelles ne sont pas pseudomisées par Google Analytics. Google utiliserait des identifiants uniques, ce qui est contraire à l’article 4.5 du RGPD. De plus, les adresses IP ne sont pas toujours anonymisées puisqu’il s’agit seulement d’une option et que celle-ci n’est pas applicable à tous les transferts. Le cadre juridique américain ne confère pas aux utilisateurs des droits opposables aux autorités américaines. Aussi, les clauses supplémentaires de protection prévues par Google ne justifieraient pas une dérogation au regard de l’article 49 RGPD. Selon la CNIL, le consentement au dépôt de tels traceurs n'équivaut également pas à un consentement libre, spécifique, éclairé et univoque du RGPD (articles 4 Nr.1, 7 et 8 du RGPD). Un tel transfert n’est donc pas conforme au RGPD.
En outre, les serveurs ou clouds américains sont non seulement soumis au droit américain en vertu du Cloud Act[33], mais il y a aussi une grande probabilité d’accès aux données par les services de renseignement américains. Si un nouvel accord aurait récemment été trouvé,[34] il n’y a, à ce jour, aucune garantie de « niveau substantiellement équivalent [35]» à celui de l’UE.
Par conséquent, cette étude comparée démontre un même constat de la part des autorités régulatrices de France et d’Allemagne : l’illégalité de l’utilisation de Google Analytics. Ces opinions sont à la fois dues au cadre européen harmonisé applicable en France et en Allemagne, mais surtout en raison de l’exportation, par Google via ses cookies, des données personnelles européennes (in fine les nôtres) vers les États-Unis ; en l’absence de bouclier de protection entre l’UE et les États-Unis. Si la fuite de nos données perdure, la CNIL et les autorités de contrôle allemandes marquent une étape importante pour l’UE non pas vers la fin de Google Analytics qui paraît peu probable en raison des enjeux économiques, mais vers le questionnement du maintien des cookies. La fin des cookies-tiers, également utilisés par Google Analytics, serait fortement bénéfique pour les citoyens européens. Est-ce envisageable ?
Bibliographie
Ouvrage :
Specht-Riemenschneider, Louisa /Werry, Nikola/Werry, Susanne, Datenrecht in der Digitalisierung, Berlin, 2020
Articles :
En France:
Birambeau Rémy « Internet, communication et marketing », Juris associations, 2009, n°402, p.15.
Légipresse, « La CNIL considère que Google Analytics comporte un risque pour les utilisateurs des sites français dont les données sont exportées vers les États-Unis », 2022 p.69.
En Allemagne :
Böhm, Wolf-Tassilo/Halim, Valentino, Cookies zwischen ePrivacy und DS-GVO – was gilt?, Multimedia und Recht, Zeitschrift für IT-Recht und Recht der Digitalisierung, 2020, 23. Jahrgang, Heft 10, S. 651-656 (zitiert: Bearbeiter/Bearbeiter, MMR Datum, S. …)
Hartmut, Dewick, Droht das Aus für Google Analytics in der EU ?, Newsdienst ZD-Aktuell, 2022, 12. Jahrgang, Heft 7, S. 01125 (zitiert: Bearbeiter, ZD-Aktuell Datum, S. …)
Loof, Ariane, Datenschutz in Matrixstrukturen nach Schrems II, Corporate Compliance Zeitschrift, 2021, 14. Jahrgang, Heft 1, S. 42-45 (zitiert: Bearbeiter, CCZ Datum, S. …)
Moos, Flemming, Unmittelbare Anwendbarkeit der Cookie-Richtlinie - Mythos oder Wirklichkeit?, Leisatzkartei, Kommunikation & Recht, 2012, Heft 10, S. 635-652
Rauer, Nils /Ettig, Diana, Nutzung von Cookies - Rechtliche Anforderungen in Europa und deren Umsetzungsmöglichkeiten, Zeitschrift für Datenschutz, 2014, 4. Jahrgang, Heft 1, S. 27-32 (zitiert: Bearbeiter/Bearbeiter, ZD Datum, S. …)
Roßnagel, Alexander, Was folgt auf das Privacy Shield – ein Privacy Framework oder Schrems III?, Zeitschrift für Datenschutz, 2022, 12. Jahrgang, Heft 6, S. 305-306 (zitiert: Bearbeiter, ZD Datum, S. …)
Décisions nationales:
En Allemagne:
BGH, Urt. v. 28.05.2020 – I ZR 7/16 (zitiert: BGH, Urt. v. Datum – Referenz, Rn. … , S. …)
Décisions européennes :
CJUE, Affaire C-673/17, Planet49, 1er octobre 2019.
CJUE, Affaire C-311/18, Schrems II, 16 juillet 2020.
Lois nationales :
En France :
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
En Allemagne:
Telemedien-Gesetz vom 26. Februar 2007 (BGBl. I S. 179, 251; 2021 I S. 1380).
Bundesdatenschutzgesetz (BDSG) vom 30. Juni 2017 (BGBl. I S. 2097).
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vom 23. Juni 2021 (BGBI. 2021 I S.1982).
Aux États-Unis :
Clarifying Lawful Overseas Use Of Data Act (H. R. 4943), 6 février 2018.
Ordonnances nationales :
Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques.
Directives et règlements européens :
Directive 2002/58/CE du 12 juillet 2002.
Règlement (UE) 2016/679 du 27 avril 2016.
Ressources Internet :
Au sujet de « adssettings », voir : https://adssettings.google.com/authenticated.
Bayerisches Landesamt für Datenschutzaufsicht, Pressemitteilung, v. 15.11.2019.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Pressemitteilung 26/2019 v. 14.11.2019.
CNIL, Délibération n° 2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».
CNIL, Mise en demeure anonymisée, 10 février 2022.
DSK Orientierungshilfen der Aufsichtsbehörden für Anbieterinnen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), vom 20.12.2021.
Fiche n°17 du Guide RGPD CNIL pour l’équipe de développement : https://lincnil.github.io/Guide-RGPD-du- developpeur/#Fiche_n%C2%B017%C2%A0:_Mesurer_la_fr%C3%A9quentation_de_vos_sites_web_et_de_vos_applications (consulté le 10.05.2022).
Sur la définition du cookie, voir : https://www.cnil.fr/fr/definition/cookie .
[2] Rauer/Ettig, ZD 2014, S. 27.
[4] Rémy Birambeau, « Internet, communication et marketing », Juris associations, 2009, n°402, p.15.
[5] Directive 2002/58/CE du 12 juillet 2002.
[6] Directive 2009/136/CE du 25 novembre 2009.
[7] Article 5 § 3 de la directive 2002/58/CE.
[8] Commission Nationale de l’Informatique et des Libertés : https://www.cnil.fr/.
[9] « La CNIL considère que Google Analytics comporte un risque pour les utilisateurs des sites français dont les données sont exportées vers les États-Unis », Légipresse, 2022, p.69.
[10] Moos, LSK 2012, S. 635.
[11] Rauer/Ettig, ZD 2014, S. 27.
[12] Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Transposition via l’ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques.
[13] CJUE, Affaire C-673/17, Planet49, 1er octobre 2019, § 51.
[14] BGH, Urt. v. 28.05.2020 – I ZR 7/16, Rn. 44, 52.
[15] Telemedien-Gesetz vom 26. Februar 2007 (BGBl. I S. 179, 251; 2021 I S. 1380).
[16] Böhm/Halim, MMR 2020, S. 654.
[17] Telekommunikation-Telemedien-Datenschutz-Gesetz vom 23. Juni 2021 (BGBI. 2021 I S.1982).
[18] CNIL, Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs », article 5, point 49.
[19] Specht-Riemenschneider/Werry/Werry, Datenrecht in der Digitalisierung, § 2.4, Rn. 10, S. 208.
[20] Specht-Riemenschneider/Werry/Werry, Datenrecht in der Digitalisierung, § 2.4, Rn. 10, S. 208.
[21] BayLDA, Pressemitteilung, v. 15.11. 2019.
[22] BfDI, Pressemitteilung 26/2019 v. 14.11.2019.
[23] CNIL, Mise en demeure anonymisée, 10 février 2022.
[24] CJUE, Affaire C-311/18, « Schrems II », 16 juillet 2020.
[25] Règlement (UE) 2016/679 du 27 avril 2016.
[26] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[27] Bundesdatenschutzgesetz (BDSG) vom 30. Juni 2017 (BGBl. I S. 2097).
[28] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».
Fiche n°17 du Guide RGPD CNIL pour l’équipe de développement : https://lincnil.github.io/Guide-RGPD-du-developpeur/#Fiche_n%C2%B017%C2%A0:_Mesurer_la_fr%C3%A9quentation_de_vos_sites_web_et_de_vos_applications (consulté le 10.05.2022).
[29] Hartmut, ZD-Aktuell 2022, S. 01125.
[30] CNIL, Mise en demeure anonymisée, 10 février 2022.
[31] Article 44 – Principe général applicable aux transferts, Article 45 – Transferts fondés sur une décision d’adéquation, Article 46 – Transferts moyennant des garanties appropriées.
[32] Loof, CCZ 2021, S. 45.
[34] Roßnagel, ZD 2022, S. 305.
[35] CNIL, Mise en demeure anonymisée, 10 février 2022.