Catalogue
Privacy 10 août 2022

CNIL et Google Analytics : Interview de Maitre TESSONNEAU

Alexandre TESSONNEAU, avocat associé au sein du cabinet Squadra Avocats a accepté de répondre à nos questions dans une interview. Il est spécialiste des enjeux liés aux données personnelles et, plus généralement, aux domaines du numérique et de l’innovation. Au programme de notre entrevue : Ce que le RGPD a changé pour les gestionnaires de […]

CNIL et Google Analytics : Interview de Maitre TESSONNEAU

Alexandre TESSONNEAU, avocat associé au sein du cabinet Squadra Avocats a accepté de répondre à nos questions dans une interview. Il est spécialiste des enjeux liés aux données personnelles et, plus généralement, aux domaines du numérique et de l’innovation.
Au programme de notre entrevue :

Concrètement, qu’est-ce que le RGPD a changé pour les gestionnaires de site ?

En mai 2018, le RGPDsemblait être une révolution mais en réalité, les principes de base du RGPDétaient déjà connus depuis 1978 en France.

La réglementation asurtout été l’occasion d’une réelle prise de conscience pour l’opinionpublique. L’application de ces textes est beaucoup plus suivie aujourd’hui etles manquements à la réglementation sont plus sévèrement punis. D’un point devue financier, le pouvoir d’amende est devenu beaucoup plus significatif avecdes sanctions pécuniaires pouvant s’élever jusqu’à 4 % du chiffre d’affairesannuel mondial pour une entreprise.

De mon point de vue, le principal risque est sur le terrain médiatique. Aujourd’hui, chaque sanction prononcée par la CNIL est largement relayée dans la presse et sur le net. Cela a un effet dévastateur pour les entreprises concernées en termes de réputation et d’image.

Pour les gestionnaires de site, c’est surtout lagestion des cookies qui a changé.

Sur le plan juridique,le RGPD a fait évoluer certains aspects de la réglementation applicable auxcookies.

Pour autant, lescookies font aussi l’objet d’une réglementation européenne spécifique. Pouréclaircir ce cadre juridique complexe, la CNIL a récemment précisé la manièredont elle interprète ces textes et les obligations auxquelles sont soumis leséditeurs de site web pour gérer les cookies et le recueil du consentement desinternautes.

C’est la Directive ”ePrivacy”.Avant, l’information des internautes concernant le dépôt de cookies via unbandeau en bas de page était suffisante. L’internaute donnait tacitement sonconsentement au dépôt des cookies lorsqu’il poursuivait sa navigation sur lesite web. Aujourd’hui, ce n’est plus suffisant.

L’objectif estd’obtenir un consentement explicite et donc informé de l’internaute, d’oùl’apparition de nouvelles bannières ou pop-ups qui requièrent le fameuxconsentement aux cookies et qui vous informent plus ou moins précisément desdifférentes finalités poursuivies et des partenaires utilisés (Google, etc.).

hbspt.cta.load(8501110, '47c56139-4c1e-4833-b464-0f89aa5cd421', {"useNewLoader":"true","region":"na1"});

Comment ça se passe quand la CNIL détecte une non-conformité?

Cela dépend de lagravité des manquements. la CNIL peut:

  • Clôturer la procédure,
  • Prononcer une mise en demeure(rendue publique ou non) et sanctionner si celle-ci n’est pas respectée,
  • Sanctionner directementl’organisme en cas de manquement sérieux.

La diffusion publiquedes mises en demeure ou sanctions et leur médiatisation constituent dessanctions supplémentaires pour l’entreprise.

Comment un contrôle est-il déclenché ?

Le cas le plusrépandu, c’est un dépôt de plainte à la CNIL qui va provoquer une mission decontrôle et une enquête. Le nombre de plaintes augmente chaque année. Chaqueannée, la CNIL établit aussi un programme de contrôle, où elle désigne certainssecteurs d’activités identifiés notamment en raison de leur impact sur la vie privéede nombreuses personnes. Elle réalise également des contrôles en fonction del’actualité.

Enfin, les autoritésde protection nationales de toute l’Europe coopèrent pour signaler depotentiels manquements au sein de l’UE.

Avec quellessanctions à la clef ?

La CNIL peut doncprononcer des sanctions pécuniaires ou non (rappel à l’ordre, injonction sousastreinte, etc.). Elle use aussi de son pouvoir médiatique en choisissant derendre publiques les mises en demeure ou sanctions prononcées.

Au lieu de recourir à Google Analytics, un gestionnaire de site pourrait recourir à un autre prestataire proposant une solution similaire, qui ne soit pas soumis à une juridiction extra-européenne ou bien encore soumis à une juridiction « adéquate ». Ceci permettrait d’éviter l’application d’une règlementation étrangère contraire au RGPD comme c’est le cas aux Etats-Unis. A cet égard, la CNIL a publié une liste de solutions de mesures d’audience qu’elle considère conformes au RGPD.

La CNIL a mis en demeure un gestionnaire desite pour l’utilisation de Google Analytics et le transfert de données aux US.Quelles seront les alternatives pour les gestionnaires de sites sil’utilisation de GA devient illégale ? Quelles seront les options pour Googleafin de se mettre en conformité ?

Alternativement,il peut être attendu que Google modifie le fonctionnement de sa solutionAnalytics comme l’y a invité la CNIL, afin de limiter les possibilités d’accèsdes services de renseignement américains aux données collectées et traitées viace service.

Enfin, la CNIL a présenté une solution technique permettant dès à présent de continuer à utiliser Analytics. Celle-ci passe par la mise en place d’un serveur proxy et d’une série de paramétrages, avec pour effet de rendre bien plus difficile le suivi individuel par les services de renseignement. La CNIL reconnait elle-même que cette solution, pouvant s’avérer lourde et coûteuse, n’est pas adaptée à toutes les situations. Le contexte est donc très évolutif et l’on peut s’attendre à de nouvelles prises de position à ce sujet par les parties concernées dans les mois à venir.  

La CNIL impose une obligation de protéger les donnéespersonnelles des internautes. Comment procéder ?

Ce que le RGPDdemande, c’est que les entreprises mettent en place des mesuresorganisationnelles et techniques, afin de protéger les données de tout individuqu’elles vont collecter et traiter, notamment lorsque ces individus naviguentsur internet

Ces mesures sont àadapter en fonction de la sensibilité des données, du secteur d’activité ou desrisques qui peuvent peser sur les personnes en cas d’incident de sécurité. Lesdonnées collectées par un e-commerçant sur ses clients sont généralement moinssensibles que celles collectées par un laboratoire permettant à ses clients deconsulter leurs examens médicaux en ligne.

Dès lors, laréglementation doit amener les entreprises à se poser les questions suivantes :

  • Les données que je traite sont-elles sensibles ?
  • Que se passerait-il si elles se retrouvaient dans la nature ?
  • Quelles seraient les conséquences pour mes internautes ?
  • Est-ce que les conséquences seraient négligeables, modérées ou potentiellementgraves ?

Un gestionnaire de site peut convenir lui-même de la finalitéd’un cookie avec pour conséquence de contourner le recueil de consentement.Comment est-ce géré par la CNIL ?

La nature des cookiessera évidemment examinée lors d’un contrôle par la CNIL. Sont soumis auconsentement de l’internaute les cookies qui n’ont « pas pour finalité exclusive de permettre ou faciliter une communicationpar voie électronique » ou qui ne sont pas « strictement nécessaires à la fourniture d’un service decommunication en ligne à la demande expresse de l’utilisateur ». La CNILdéterminera si le cookie en question est un cookie purement technique(authentification auprès d’un service, panier d’achat, personnalisation del’interface ….), ou s’il poursuit une finalité autre qui le soumet auconsentement préalable d’un internaute (publicité personnalisée, réseauxsociaux …).

hbspt.cta.load(8501110, '2176edf8-7b67-421b-89e7-d8f72c446b03', {"useNewLoader":"true","region":"na1"});

Quel est le principal obstacle rencontré par les entreprisesdans leur mise en conformité avec le RGPD ?

C’est l’évolutionconstante de la réglementation. Bien que le RGPD ait été négocié pendant 4 ans,et est applicable depuis mai 2018, le cadre juridique est loin d’êtrestabilisé, le suivi de ces évolutions relève parfois du défi. On peut doncaisément imaginer la difficulté pour de nombreuses entreprises d’intégrertoutes ces évolutions dans leur mise en conformité !

Le rôle pédagogique de la CNIL

Le site internet de laCNIL est particulièrement fourni en documentation librement accessible pour :expliquer les termes, les textes, les obligations des entreprises et prodiguerdes modèles, des exemples ou recommandations.

La CNIL travailleégalement sur des packs de mise en conformité sectorielle (banque – assurance,santé, commerce – marketing, logement, etc.). Mais elle ne dispense pas deconseils individualisés à toutes les entreprises. Elle peut avoir un rôled’accompagnement sur certaines problématiques techniques et précises, mais cen’est pas sa vocation première.

C’est pour cela qu’unaccompagnement juridique, en interne ou en externe, par un professionnel dudroit peut s’avérer utile.

Pour terminer, où en sont les entreprises françaises dansleur mise en conformité avec le RGPD ?

D’un côté, il y a les multinationalesqui ont entamé leur démarche de mise en conformité avant mai 2018 (dated’entrée en vigueur du RGPD), et qui sont donc plutôt bien avancées. Beaucoupsont occupées actuellement avec des sujets de maintien de la conformité destransferts de données hors de l’UE. Certaines s’attellent à de nouvellesproblématiques relatives à la protection des données hors UE. Je pensenotamment aux Etats-Unis, où l’État de Californie a mis en place uneréglementation assez similaire au RGPD. Les initiatives de réglementations en matièrede protection des données personnelles se multiplient dans le monde.  

Et puis, il y a lesentreprises de taille plus modeste et les PME. En fonction du secteur,certaines se sont prêtées à l’exercice de la mise en conformité au RGPD ou sontencore en cours et une partie a un peu abandonné. Quatre ans après l’entrée envigueur du RGPD, j’observe encore beaucoup d’écarts de conformité et de mises àniveau nécessaires.

Comment noussituons-nous par rapport à nos voisins Européens ?

La réglementationrelative à la vie privée et la protection des données personnelles s’harmoniseen Europe même si d’autres Etats semblent y accorder moins d’importance.

En France, l’autoritéde contrôle nationale c’est la CNIL. C’est une des autorités phares en Europe, àl’avant-garde et très écoutée par ses homologues. Elle est également trèsactive sur le terrain répressif : le montant cumulé des amendes prononcéespar la CNIL en 2021 atteint plus de 214 millions d’euros.

Temps de lecture

10 min

Suivez-nous !

Contenus similaires

« Comment j’ai optimisé la performance et la réactivité de nos plateformes e-commerce ? »
« Comment j’ai optimisé la performance et la réactivité de nos plateformes e-commerce ? »

« Grâce à Netvigie, j’ai renforcé la qualité de notre monitoring en temps réel » Retour d’expérience de Raynald Malige Chez Blancheporte, la data, l’innovation digitale et l’agilité technologique sont au coeur de la stratégie pour répondre aux besoins évolutifs des clients et améliorer continuellement ses performances commerciales. Des enjeux pleinement intégrés aux missions et au quotidien […]

Comment un grand acteur du milieu sportif optimise sa gestion des données grâce à l’automatisation ?
Comment un grand acteur du milieu sportif optimise sa gestion des données grâce à l’automatisation ?

Pour gérer un écosystème digital complexe et garantir la conformité des données dans un environnement réglementaire strict, un grand acteur du milieu sportif a adopté notre solution d’automatisation de la gestion du tracking. Cette stratégie lui permet d’assurer la qualité des données et d’optimiser la performance de ses plateformes, particulièrement lors des pics de trafic […]

« Comment j’ai rapidement et proactivement détecté des anomalies avec Netvigie Tracking? »
« Comment j’ai rapidement et proactivement détecté des anomalies avec Netvigie Tracking? »
Privacy : un sujet + complexe qu’on ne le pense !
Privacy : un sujet + complexe qu’on ne le pense !

ou comment assurer une gestion efficace de la conformité et du consentement tout en protégeant les données personnelles des utilisateurs ? Dans le monde du webmarketing, la gestion de la privacy et la conformité réglementaire sont des piliers essentiels pour la pérennité et la crédibilité des entreprises en ligne. Depuis l’entrée en vigueur du règlement […]