Quels changements pour la conformité des sites web (ex : Google Analytics) ?
Le 6 avril 2022 l’European Data Protection Board (EDPB ou CEPD pour Comité Européen de la Protection des Données) nous indiquait qu’un accord de principe était trouvé concernant le nouveau cadre pour le transfert de données personnelles de l’Europe vers les Etats-Unis faisant suite à l’invalidation du Privacy Shield en juillet 2020 par la Cour de Justice de l’Union Européenne dans l’affaire « Schrems II » (cf. Vers un nouveau Privacy Shield ?). Ce nouvel accord aura-t-il un impact sur la conformité web et l’utilisation de Google Analytics ? Depuis, de nombreuses interrogations pour les entreprises qui traitent avec des entreprises américaines se sont posées. La plus fameuse d’entre elles est sans doute celle de la conformité de l’outil de Google, Google Analytics. Je vous en parlais déjà dans un premier article du 11 avril 2022 (dispo ici) puis encore le 8 juin 2022 (dispo ici), suite à la prise de position de différentes autorités de contrôle dont la CNIL.
QUEL ETAIT LE PROBLEME ?
Si l’on se souvient de l’arrêt Schrems (premier du nom) qui avait permis l’invalidation du Safe Harbour, puis de l’arrêt Schrems II qui a débouché sur l’invalidation du Privacy Shield, on peut se remémorer l’existence d’un mécanisme d’auto-adhésion des entreprises américaines à une liste publique visant à indiquer que ces entreprises étaient conformes aux exigences de protection des données européennes. C’est notamment ce dispositif qui avait été jugé comme n’étant pas suffisant par la Cour de Justice Européenne, car une adhésion à cette liste par une entreprise ne faisait pas nécessairement l’objet d’une vérification quant à la conformité de l’entreprise concernée. En complément, les différents dispositifs légaux existants aux Etats-Unis permettaient au Gouvernement d’accéder aux informations stockées sur les serveurs de ces entreprises même si ceux-ci étaient situés sur le sol européen. Un véritable problème donc pour la confidentialité des données des Européens. Alors qu’est-ce qui a évolué pour justifier ce revirement de situation de la part des instances européennes ? Et bien il est possible de penser qu’il s’agit d’un retour en arrière…
Toujours un système d’AUTO-CERTIFICATION des entités
Comme avec le précédent accord de protection des données entre l’UE et les États-Unis (Privacy Shield), un système d’auto-certification est une nouvelle fois mis en place pour les entités américaines. Une fois ces entités inscrites sur la liste des organismes certifiés, elles doivent s’engager publiquement chaque année à respecter ce cadre juridique et tous ses principes. Des garanties similaires à celles de l’UE sont prévues par ce nouveau dispositif. Notamment l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de collecte. En cas de partage des données européennes à un tiers, la continuité de leur protection devra également être assurée.
NOUVELLE DECISION D’ADEQUATION : EU-US Data Privacy Framework
C’est désormais par une décision du 10 juillet 2023 que la Commission Européenne constate donc que les États-Unis confèrent et assurent un niveau de protection des données personnelles conformes à nos standards européens. En conséquence, les transferts de données personnelles vers les entreprises américaines peuvent désormais être réalisés librement et sans encadrement spécifique. Enfin, ces transferts sont dorénavant possibles qu’à condition de garantir des droits opposables aux personnes concernées, ainsi que des voies de recours effectives. Une liste de ces organismes est rendue publique par le ministère américain du Commerce à cette adresse : https://www.dataprivacyframework.gov/s/participant-search. A noter que ce site ressemble pour beaucoup à ce qui existait déjà à l’époque du Privacy Shield. Pour l’instant, cette liste recense environ 2620 organismes, dont le géant Google.
Il semblerait cependant que les critiques à l’encontre des anciens dispositifs aient été entendues. Avec ce nouveau système émerge un nouvel ensemble de règles et garanties contraignantes à destination des autorités de renseignements américaines. Désormais, l’accès aux données personnelles par ces autorités sera limité à ce qui est « nécessaire et proportionné pour protéger la sécurité nationale ». C’est le décret présidentiel étatsunien n°14086 qui en plus de consacrer les principes de nécessité et de proportionnalité, introduit un nouveau mécanisme de recours indépendant et impartial auprès d’une « Cour de contrôle de la protection des données ».
QUEL IMPACT NOTAMMENT POUR LA CONFORMITE DES SITES WEB ?
Avec cette décision, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert. Les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement. En revanche, les transferts vers des entités américaines ne figurant pas sur la liste du Département du Commerce ne pourront pas être fondés sur la décision d’adéquation et nécessiteront des garanties appropriées. Par exemple, il est notamment possible de réaliser le transfert en signant des clauses contractuelles types, ou en utilisant tout autre outil listé à l’Article 46 du RGPD. Pour palier tout risque, la Commission nous rappelle qu’avant de procéder au transfert des données à caractère personnel, les organismes européens doivent s’assurer que l’organisme destinataire figure sur la liste mise à disposition par le Département du Commerce des États-Unis. Pour le dispositif Google Analytics que certains se sont empressés de juger illégaux, à tort, motivés sans doute par des motifs lobbyistes, plus aucun problème. Google ayant déjà mené des efforts importants depuis 2020 avec sa nouvelle version Google Analytics (cf. mon précédent article), vous pourrez tout à fait poursuivre l’utilisation de cette solution sans vous soucier de la légalité de transferts potentiels de données vers les États-Unis… s’il devait y en avoir. A noter que cette nouvelle décision d’adéquation ne dispense pas les organismes d’informer les utilisateurs ou toute personne concernée par un traitement de données personnelles de l’existence d’éventuels transferts de données personnelles en dehors de l’Union Européenne. Si votre hébergement web est par exemple effectué chez AWS, il va de soi qu’il sera nécessaire d’en faire mention dans vos mentions légales et politique de confidentialité afin d’avertir vos utilisateurs d’éventuels transferts de données vers les États-Unis (même s’il peut ne s’agir que de données en transit qui s’avèrent être stockées en Europe in fine). Les enjeux de conformité RGPD et ceux relatifs notamment au mécanisme de recueil de consentement sont toujours les mêmes et les règles applicables en la matière doivent toujours être suivies afin d’avoir un site web ou application conforme. Reste désormais à savoir si ce dispositif fera l’objet d’une plainte comme ses prédécesseurs ou s’il nous assure un avenir radieux en termes de transferts de données personnelles vers les États-Unis ?
Autres sources :
Décision d’adéquation de la Commission Européenne : le texte disponible ici