La Cnil s’attaque à Google Analytics
La Cnil n’est pas satisfaite de la protection des données personnelles offerte par Google Analytics. Le 10 février, l’autorité a mis en demeure le gestionnaire d'un site web français qui utilise la fonctionnalité de se mettre en conformité avec le RGPD. Pour la Cnil, les transferts des données vers les États-Unis effectués par Google Analytics ne sont pas suffisamment encadrés à l’heure actuelle.
101 réclamations
Depuis l’invalidation du Privacy Shield par l’arrêt Schrems II de la CJUE en juillet 2020, il n’y a plus de décision d’adéquation établissant que le pays offre un niveau de protection des données suffisant au regard du RGPD. Des garanties appropriées doivent impérativement être mises en place pour les transferts de données vers les États-Unis, ce qui n’est pas le cas avec Google Analytics, estime la Cnil. Google a bien adopté des mesures supplémentaires pour encadrer les transferts de données via l’outil, mais "celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données".
Le gestionnaire du site web français a un mois pour mettre ces traitements de données en conformité avec le RGPD, ce qui, éventuellement, pourrait exiger qu’il cesse d’utiliser la fonctionnalité Google Analytics pour lui préférer un outil qui n’entraîne pas de transfert hors de l'Union européenne. La Cnil a été saisie de plusieurs plaintes par l’association Noyb, présidée par Maximilian Schrems, qui a déposé 101 réclamations dans les 27 États membres de l’Union européenne et les 3 autres États de l’espace économique européen, à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis. Le mois dernier, l’homologue autrichien de la Cnil a rendu la même décision.