Saisie par l’association NOYB (arrêt Schrems), la CNIL a mis en demeure en février au moins un grand gestionnaire de site web contre l’utilisation de Google Analytics. Le gendarme français des données personnelles lui reproche surtout le transfert des données publicitaires collectées vers les États-Unis.
Intervenant le 10 février à Paris lors de l’Université des adhérents de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Marie-Laure Denis, la présidente de la Cnil, a confirmé le démarrage d’une action contre au moins un grand gestionnaire français de site web utilisant Google Analytics
Son éventuelle interdiction en l’état causerait un grand traumatisme dans le secteur Internet, car cet outil créé par Google y est très répandu et rentable pour son créateur. Il permet à tous les sites web de disposer de statistiques de fréquentation d’un site web. Dans ce cadre, un identifiant unique est attribué à chaque visiteur et cette donnée personnelle, ainsi que les données associées, sont transférés par Google aux États-Unis.
« ces transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle »
Après analyse, la CNIL conclut que « ces transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment ».
La Cnil constate que si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. Car les données des internautes sont toujours transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.
Une mise en demeure pour obtenir la conformité de ces traitements avec le RGPD
La Cnil met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité. D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.
Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.
