Google Analytics : la décision de la CNIL française

Le mois dernier, la CNIL autrichienne a rendu une décision importante concernant l’usage de Google Analytics, considérant des manquements des RGPD. Ce matin, les autorités françaises ont rendu un verdict équivalent. L’association NOYB a saisi les CNIL européennes, estimant que le transfert de données vers les États-Unis via l’outil Google Analytics ne respectait pas le RGPD. Plus précisément, ce transfert ne respecterait pas l’arrêt « Schrems II » de la CJUE qui a invalidé le Privacy Shield, qui encadrait le transfert de données vers les États-Unis. La décision de la CNIL française confirme ces observations.
La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.

Coup de tonnerre pour les professionnels du web

En 2020, la CJUE avait estimé que le transfert de données vers les États-Unis ne protégeait pas suffisamment les citoyens européens. La Cour avait évoqué un risque d’accès aux données personnelles par les services de renseignement américains. La CNIL constate une « absence de décision d’adéquation » : en clair, les États-Unis ne garantissent pas le même niveau de confidentialité que les pays de l’Union européenne.
Le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux.
Elle reconnait les efforts de Google pour encadrer ce transfert, mais considère que ces dispositifs ne permettent pas d’exclure « la possibilité d’accès des services de renseignements américains à ces données ». La CNIL française estime ainsi que dans le cadre de l’usage de Google Analytics, les données personnelles sont transférées vers les États-Unis « en violation des articles 44 et suivants du RGPD ».

Quelles responsabilités et quelles conséquences ?

Google fournit un outil qui envoie des données personnelles vers les États-Unis. La grande majorité des sites web utilisent cet outil, désormais considéré comme « non-conforme » par la CNIL française. Google n’est donc pas le responsable ce sont aux éditeurs de ces sites web de régulariser leur situation. Dans ce cas présent, la CNIL a été saisie pour se prononcer sur l’usage de Google Analytics par plusieurs sites identifiés. Au moins 3 sites français étaient visés par l’association NOYB, ils sont édités par Decathlon, Auchan et Sephora. La CNIL indique avoir transmis des mises en demeure aux responsables.
Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.
L’outil de web analyse est utilisé par la plupart des sites web, cette décision pourrait donc faire tache d’huile. À moins que Google apporte de vraies solutions, facilitant un usage conforme de son service ? Cette affaire risque de faire grand bruit chez les professionnels du web. Elle rappelle en tous cas les déclarations récentes de Meta qui exige un nouveau cadre réglementaire pour permettre le transfert de données vers les États-Unis. Retrouvez cet article directement sur mon profil LinkedIn : https://www.linkedin.com/feed/