Google Analytics mis à l'index par la CNIL
La Cnil vient d'accélérer sur la légalité de l'utilisation du service Google Analytics en lançant des procédures de mise en demeure contre plusieurs gestionnaires de site web. Le régulateur considère que le transfert des données vers les Etats-Unis est illégal au regard du RGPD. Une décision qui suit celle prise récemment par la DSB (la Cnil autrichienne).
PublicitéLe service Google Analytics va-t-il être la prochaine victime de Max Schrems et de son association NOYB ? La Cnil vient de mettre en demeure plusieurs gestionnaires de sites web de cesser « d'avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n'entraînant pas de transfert hors UE ». Le régulateur français laisse un mois à ces gestionnaires de se mettre en conformité. Dans un communiqué, il évoque le cas d'un gestionnaire en particulier sans citer de nom en particulier.
Cette décision intervient quelques semaines après la décision de la DSB (la Cnil autrichienne) de déclarer que l'utilisation de Google Analytics (analysant les audiences d'un site) violait le règlement général sur la protection des données (RGPD). Elle avait été saisie par l'association NOYB qui a porté une centaine de réclamations dans la quasi-totalité des Etats européens à la suite de la décision de la Cour de Justice de l'Union européenne d'annuler l'accord du Privacy Shield, qui remplaçait le Safe Harbor lui aussi invalidé.
Un risque persistant d'accès aux données des Européens
Au centre du problème soulevé par les deux autorités de contrôle européennes, les Etats-Unis ne garantissent pas aux citoyens européens des niveaux équivalents sur la protection de leurs données. Les régulateurs constatent que, sur Google Analytics, le fournisseur américain ne peut « exclure la possibilité d'accès des services de renseignements américains à ces données ». En conséquence, le service comporte un risque pour les utilisateurs des sites français ayant recours à cet outil et dont les données sont exportées. Les sites violent ainsi l'article 44 et suivant du RGPD relatif au principe général sur le transfert de données.
Lors de la décision autrichienne, Google avait réagi en expliquant, « Google Analytics aide les commerçants, les gouvernements, les ONG et de nombreuses autres organisations à comprendre à quel point leurs sites et applications fonctionnent pour leurs visiteurs - mais sans identifier des individus ou en les suivant sur le Web. Ce sont ces organisations, et non Google, qui contrôlent les données collectées avec les outils analytics et la manière dont elles sont utilisées ».
Cette affaire montre aussi l'urgence à trouver un accord entre l'UE et les Etats-Unis sur le transfert transatlantique des données. Les discussions avancent avec peut-être la possibilité pour les utilisateurs européens de pouvoir saisir la justice aux Etats-Unis en cas de problème. Une lueur d'espoir ?
Publicité
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire