Après l'Autriche en Janvier dernier, c'est au tour de la CNIL de considérer que le recours à l'outil statistique de mesure d'audience des sites web « Google analytics » est « illégal ». Et pourquoi cela ? Parce que son usage implique des transferts de données en direction des Etats-Unis, que ces transferts ne sont plus encadrés depuis l'invalidation par la Cour de Justice Européenne de l'accord entre la Commission européenne et les Etats-Unis (le « Privacy Shield ») et que les services de renseignement américains sont « susceptibles » d'accéder à ces données.

Ces décisions sont particulièrement déstabilisatrices pour toutes les entreprises européennes. Au niveau national, près de 70 % d'entre elles utilisent cette solution, qui existe depuis plus de 15 ans, pour mesurer l'audience de leurs sites web et améliorer leur ergonomie. En l'absence d'alternatives technologiques aussi performantes, interdire cette solution revient à obliger les entreprises européennes à devenir aveugles sur l'activité et la performance de leur propre site web. Ni elles ni leurs clients n'y gagneront quoi que ce soit.

Un décision contestable

Elles sont également discutables juridiquement. En effet, la CJUE n'a pas interdit, de façon générale et absolue, tout transfert de données en direction des Etats-Unis. Elle a notamment reconnu la validité du recours à d'autres outils juridiques, en tenant compte des « circonstances du transfert » et des « garanties » offertes. C'est donc une analyse au cas par cas qui doit être faite, en tenant compte de la sensibilité des données mais aussi des expériences passées des entreprises concernées, par exemple si elles sont déjà fait l'objet, ou non, d'une demande des services de renseignement.

Or, la décision française, pour laquelle seul un communiqué est disponible, semble s'affranchir de cette approche au cas par cas et par les risques. En effet, simplement parce qu'il est « possible » que de telles demandes existent suffit à rendre le transfert illégal, quand bien même aucun élément publiquement disponible ne permet de démontrer leur existence au cas particulier. Cette approche par les principes, qui s'écarte du principe de proportionnalité, conduit nécessairement à des situations insolubles puisqu'elle n'apporte aucune solution.

Au surplus, cette approche n'est pas celle retenue par le Conseil d'Etat qui, à deux reprises déjà, a validé la possibilité de transférer des données vers les Etats-Unis tout en reconnaissant l'existence de risques mais en demandant que des mesures soient adoptées pour les « minimiser » et non les faire disparaître. Et ce pour des données de santé, donc bien plus sensibles que celles résultant de l'analyse de la fréquentation des sites. De même, la CNIL a autorisé l'organisme de régulation des Commissaires aux Comptes à transférer des données vers les Etats-Unis. Au niveau Européen, l'homologue de la CNIL a fait de même au profit de la CJUE elle-même pour le recours à une solution de visioconférence américaine.

Incertitude juridique pour les entreprises

Ces divergences d'appréciation, entre autorités, mais aussi entre le secteur public, mieux traité que le secteur privé, créent de l'incertitude juridique pour les entreprises qui sont prises en tenaille. Encouragées par la CJUE et les autorités européennes, elles ont cru que des solutions existaient, que leur expérience passée et l'analyse objective des risques était des critères pertinents pour transférer leurs données. Des régulateurs leur disent désormais le contraire. Or aucune entreprise ne pourra jamais régler les questions des pouvoirs des services de renseignement et des garanties offertes aux personnes. Il s'agit de décisions politiques que seuls des Etats peuvent prendre.

Pour que la protection des données ne soit pas synonyme de protectionnisme, et pour que nos entreprises ne soient pas les victimes de questions juridiques qui les dépassent, il est urgent de trouver une solution de remplacement au « Privacy Shield ». Et si la Présidence Française de l'UE y parvenait, ce succès majeur serait à porter à son crédit.