La CNIL estime que Google Analytics viole le RGPD

La CNIL a estimé jeudi dernier que l’utilisation de Google Analytics constituait une violation des lois du Règlement général sur la protection des données (RGPD) de l’Union européenne dans le pays, près d’un mois après qu’une décision similaire ait été prise en Autriche.

La CNIL estime que l’utilisation de Google Analytics viole le RGPD

 

À cette fin, la Commission nationale de l’informatique et des libertés (CNIL) a jugé que le mouvement transatlantique de données Google Analytics vers les États-Unis n’est pas « suffisamment réglementé » en invoquant une violation des articles 44 et suivants du décret sur la protection des données, qui régissent les transferts de données à caractère personnel vers des pays tiers ou des entités internationales.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.

Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE.

Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

Plus précisément, la CNIL a souligné l’absence de protections équivalentes de la vie privée et le risque que « les services de renseignement américains aient accès aux données personnelles transférées aux États-Unis si les transferts n’étaient pas correctement réglementés ».

Et la CNIL d’ajouter :

Bien que Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

Dans le cadre de l’ordonnance, la CNIL a recommandé à l’un des sites incriminés de respecter le RGPD en cessant d’utiliser la fonctionnalité Google Analytics ou en utilisant un autre outil de surveillance du trafic du site Web qui n’implique pas de transfert en dehors de l’UE, ce qui lui donne un délai d’un mois pour s’y conformer.

En outre, l’organisme de surveillance a souligné :

Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux.

La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

Le développement intervient au milieu de nouveaux avertissements de Meta Platforms, propriétaire de réseaux de médias sociaux tels que Facebook, Instagram et WhatsApp, selon lesquels une législation dictant la façon dont les données des utilisateurs des citoyens de l’UE sont transférées aux États-Unis pourrait l’amener à fermer les services de la région.

Facebook a déclaré dans un rapport annuel publié la semaine dernière :

Si un nouveau cadre de transfert transatlantique de données n’est pas adopté et que nous ne sommes pas en mesure de continuer à nous appuyer sur des CSC (clauses contractuelles types) ou de nous appuyer sur d’autres moyens alternatifs de transfert de données de l’Europe vers les États-Unis, nous ne serons probablement pas en mesure d’offrir un certain nombre de nos produits et services les plus importants, y compris Facebook et Instagram. en Europe.

 

La décision arrive également moins de deux semaines après qu’un tribunal régional de la ville allemande de Munich a estimé que l’intégration de Google Fonts sur un site Web et le transfert de l’adresse IP à Google via la bibliothèque sans le consentement des utilisateurs contrevenaient aux lois RGPD, ordonnant à l’exploitant du site Web de payer 100 € de dommages et intérêts.