Réf. : CNIL, 10 février 2022, communiqué de presse
Lecture: 4 min
N0411BZA
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 11 Février 2022
► Saisie de plaintes par l’association Noyb, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à Google Analytics sont transférées vers les États-Unis ; elle estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer dans un délai d'un mois au « RGPD » et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles ou d'utiliser un outil n’entraînant pas de transfert hors UE.
Contexte. Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes sous forme de statistiques. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant et les données qui lui sont associées sont transférés par Google aux États-Unis.
La CNIL a été saisie de plusieurs plaintes par l’association Noyb concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par Noyb dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.
Une analyse au niveau européen. La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l'arrêt « Schrems II » de la Cour de Justice de l'Union européenne du 16 juillet 2020, ayant invalidé le Privacy Shield (CJUE, 16 juillet 2020, aff. C-311/18 N° Lexbase : A26443RD ; lire J. Martinez, Invalidation du Privacy Shield par la CJUE et les grands défis de « Schrems II », Lexbase Affaires, octobre 2020, n° 649 N° Lexbase : N4708BYZ). La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.
Les conséquences au niveau français. La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du « RGPD ») concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.
Or, la CNIL a constaté que ce n’était pas le cas. Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.
La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I). Elle met donc en demeure le gestionnaire de site de mettre en conformité dans un délai d'un mois ces traitements avec le « RGPD », si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE.
Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégal. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
Affaire à suivre. D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.
L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:480411
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.