En visant un outil phare de Google, leader de la mesure d’audience sur internet, l’Europe tente de tarir le torrent de données qui se déverse constamment vers les Etats-Unis, mais les professionnels de la vie privée hésitent entre débrancher cet instrument ou miser sur une solution politique.
Google Analytics permet aux développeurs et aux professionnels du marketing de suivre avec précision le comportement des internautes.
Gratuit, il était utilisé en 2021 par plus de la moitié de tous les sites internet et domine largement ses concurrents, selon un rapport du site W3Techs.
Or depuis le début de l’année, plusieurs autorités européennes de protection des données, ainsi que le comité européen qui les fédère, ont jugé l’utilisation de ce service illicite sur le continent, car il transmet aux Etats-Unis plusieurs informations permettant d’identifier un internaute.
Une fois encore, l’initiative de l’affaire revient à Max Schrems, l’activiste et juriste autrichien engagé dans un long combat contre les transferts de données vers les Etats-Unis, qu’il considère illégaux, car ils n’excluent pas la possibilité d’accès à ces données par des services de renseignements américains.
Son ONG NOYB («None of Your Business»: «ce ne sont pas vos affaires») a déposé une centaine de plaintes dans plusieurs pays européens visant des entreprises qui utilisent Google Analytics.
En France, où trois plaintes ont été déposées contre des distributeurs, la Commission informatique et libertés (Cnil), autorité administrative indépendante chargée du respect de la vie privée, a annoncé des mises en demeure avec un délai d’un mois pour changer d’outil, sans donner le nom des éditeurs concernés. Le régulateur espère ainsi provoquer un effet boule de neige pour faire changer les pratiques.
Risque «seulement théorique»
Pour la présidente de l’autorité, Marie-Laure Denis, le problème vis-à-vis des traitements de données sensibles par des sous-traitants américains n’a que deux issues : «Soit que leur modèle économique évolue, soit que le cadre juridique américain évolue», a-t-elle expliqué mi-mars, lors d’une conférence de l’Association internationale des professionnels de la vie privée (IAPP) à Paris.
«Je suis vraiment consciente que c’est compliqué pour les entreprises» européennes, a-t-elle toutefois ajouté, face à un auditoire plutôt réticent à débrancher son outil de mesure favori.
La Cnil avait pris les devant en proposant une liste d’alternatives (parfois payantes) plus respectueuses de la vie privée, mais sans toutefois garantir l’absence de transferts hors de l’Union européenne.
Selon Yann Padova, avocat chez Baker McKenzie et référent France de l’IAPP, le risque d’utilisation par les services américains des données d’audience des sites web est «seulement théorique». «On instrumentalise la protection des données à des fins de protectionnisme», juge-t-il, avec «le risque d’avoir des solutions moins performantes».
«Si vous dites à un client qui utilise les publicités Google d’enlever Google Analytics, tout s’effondre, car c’est le socle du système», appuie Pascal Thisse, qui accompagne les entreprises dans leur mise en conformité avec le Règlement européen sur les données personnelles (RGPD).
Pour continuer à l’utiliser, «il faudrait prouver que le renseignement américain ne s’intéresse pas aux données récoltées. Vous pensez qu’une PME a les moyens de faire ça ?» Entre les contraintes techniques et les sanctions qui menacent, les entreprises se retrouvent, selon lui, «au milieu du gué». Google a bien créé des centres de données en Europe, mais ceux-ci restent accessibles par le renseignement américain en vertu du Cloud Act.
Le sujet oppose en réalité deux législations comportant chacune un caractère extra-territorial. «Les autorités de protection des données n’ont pas la solution», a reconnu Florence Raynal, chargée des affaires internationales à la Cnil, lors de la conférence de l’IAPP.
«Cette solution doit être fournie par les gouvernements à un niveau politique», a-t-elle ajouté, encourageant les entreprises à se faire entendre pour accélérer les négociations en cours. Google a pour sa part annoncé le 16 mars l’accélération du déploiement de la nouvelle version de son logiciel, qui «ne stockera plus les adresses IP», l’adresse technique de l’internaute. A ce jour, aucune autorité n’a donné son avis sur cette mise à jour.