Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

24/02/2022

Cybersecurity Insights

La CNIL renforce sa position contre les transferts de données vers les États-Unis : le cas de Google Analytics

La CNIL a publié, jeudi 10 février 2022, un article [1][2] annonçant la mise en demeure d’un gestionnaire de site web français vis-à-vis de l’utilisation de la solution Google Analytics du géant américain pour cause de transfert hors UE.

Vous trouverez ci-dessous quelques informations pour comprendre la situation :

Google Analytics

Google Analytics est un outil de mesure d’audience de site Web et un des leaders dans le domaine avec plus de 80% des parts de marché dans le monde.

Pour fonctionner, l’outil envoie certaines données à caractère personnel (DCP) vers les serveurs de Google localisés aux Etats-Unis [3] :

Processor Service
Types of Personal Data
Google Analytics
Online identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers
Google Analytics 360
Online identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers
Google Analytics for Firebase
Online identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers

Transfert de données

Jusqu’en 2020, ce transfert était encadré par le EU-US Privacy Shield [4] qui autorisait les échanges de DCP entre les deux continents. Or, le 16 juillet 2020, la cour de justice de l’Union Européenne (CJUE) a mis fin à cet accord avec l’arrêt Schrems II, jugeant qu’il ne fournissait pas de protection suffisante vis-à-vis de la réglementation européenne de protection des données (RGPD).

Depuis, Google a mis en place des clauses contractuelles types (CCT) [5] avec ses clients pour :

  • Garantir un niveau de protection suffisant des données
  • Légaliser le transfert des DCP aux Etats-Unis
  • Permettre l’utilisation de son service par ses clients

Note : les CCT sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne pour transférer des données vers un pays tiers (ex : Etats-Unis) [6]

Législation américaine

Or, dans son article [2], la CNIL précise qu’en tant que fournisseur de communications électroniques, Google est sujet à l’article 702 de la loi américaine sur les renseignements (FAA) [7]. Google a par conséquent l’obligation, dans le cadre de la loi FAA, de fournir au gouvernement américain des données personnelles indépendamment du contenu des clauses CCT, ce qui n’est pas conforme au RGPD.

Aussi, les mesures supplémentaires (notamment techniques) mises en place par Google sont jugées insuffisantes par la CNIL pour protéger les données DCP contre de tels accès.

Par ailleurs, il n’existe aucun moyen technique d’empêcher le transfert des données DCP vers les Etats-Unis : l’outil ne le permettant pas.

Cela explique la mise en demeure de la CNIL et la non-conformité vis-à-vis du RGPD de l’utilisation du service Google Analytics.

Réponses européennes

L’actuelle mise en demeure concerne un gestionnaire de site Web français. Comme le précise l’article, d’autres actions sont en cours au niveau européen pour faire suite aux plaintes déposées par l’association viennoise NOYB [8].

Nous pouvons donc nous attendre à des décisions similaires dans les prochaines semaines par les autorités de contrôle européennes. En effet, la CNIL est d’ores et déjà en train de s’intéresser aux plaintes portées à l’encontre de sociétés françaises de Retail, équipementier sportif, parfumerie.

Solutions

En l’état actuel des choses, c’est-à-dire sans changement des lois de renseignement américaines et sans modification rapide des mesures de protection mises en place par Google, nous recommandons d’identifier et mettre en œuvre des alternatives compatibles avec leurs usages.

Dans un autre article [9] publié le 23 septembre 2021, la CNIL propose des alternatives pour faire de la mesure d’audience des sites internet, qui présentent le double avantages d’être :

  • Conforme au RGPD, c’est-à-dire sur le traitement des données à caractère personnel des utilisateurs
  • Conforme à la directive européenne ePrivacy sur l’utilisation des cookies

En effet, pour chaque outil, la CNIL propose une configuration avec laquelle son utilisation serait exemptée de consentement.

Parmi ces outils figurent (entres autres) :

Alternatives gratuites
Alternatives payantes
Abla Analytics de Astra Porta
Analytics Suite Delta de AT Internet (français)
Piwik PRO Analytics Suite de Piwik PRO
SmartProfile de Net Solution Partner
Matomo Analytics de Matomo (open source)

Conclusion

Nous recommandons donc l’usage d’une des solutions alternatives proposées par la CNIL ou tout autre solution européenne dont les données seraient hébergées sur le continent.

Références

[1] https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure

[2] https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

[3] https://privacy.google.com/businesses/adsservices/

[4] https://fr.wikipedia.org/wiki/Bouclier_de_protection_des_donn%C3%A9es_UE-%C3%89tats-Unis

[5] https://www.google.com/analytics/terms/dpa/dataprocessingamendment_20200816.html

[6] https://www.cnil.fr/fr/transfert-de-donnees-les-clauses-contractuelles-types-cct-de-la-commission-europeenne

[7] https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act_of_1978_Amendments_Act_of_2008

[8] https://noyb.eu/fr/plaintes-concernant-les-virements-ue-usa

[9] https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience

Antoine HOCHENEDEL

Consultant Governance, Risks & Compliance

Albane GIROLLET

Consultante Governance, Risks & Compliance

Marine ADREIT

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.

Jour 1 : Qu'est-ce que la DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Une règlementation concernant les « entités financières »

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !