Les transferts internationaux de Google Analytics sont considérés illégaux par la CNIL ⛔
Le mois dernier, la CNIL autrichienne a rendu une décision importante concernant l’usage de Google Analytics, considérant des manquements au RGPD. Ce matin, les autorités françaises ont rendu un verdict équivalent.
L’association NOYB a saisi les CNIL européennes, estimant que le transfert de données vers les États-Unis via l’outil Google Analytics ne respectait pas le RGPD. Plus précisément, ce transfert ne respecterait pas l’arrêt « Schrems II » de la CJUE (Cour de Justice de l’Union Européenne) qui a invalidé le Privacy Shield, qui encadrait le transfert de données vers les États-Unis. La décision de la CNIL française confirme ces observations.
Quelle responsabilité pour chaque partie ?
Google fournit un outil qui envoie des données personnelles vers les États-Unis. La grande majorité des sites web utilisent cet outil, désormais considéré comme « non-conforme » par la CNIL française. Google plaide non-coupable et rejette la faute sur ses utilisateurs: ce sont aux éditeurs de ces sites web de régulariser leur situation.
Dans ce cas présent, la CNIL a été saisie pour se prononcer sur l’usage de Google Analytics par plusieurs sites identifiés. Au moins 3 sites français étaient visés par l’association NOYB. Ils sont édités par Decathlon, Auchan et Sephora. La CNIL indique avoir transmis des mises en demeure aux responsables.
Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité. 👩🏾⚖️
L’outil de web analyse est utilisé par la plupart des sites web, cette décision pourrait donc faire tâche d’huile. À moins que Google apporte de vraies solutions, facilitant un usage conforme de son service ?
Cette affaire risque de faire grand bruit chez les professionnels du web. Elle rappelle en tous cas les déclarations récentes de Meta, qui exige un nouveau cadre réglementaire pour permettre le transfert de données vers les États-Unis. (Lire notre article sur le sujet)