LA CONFIRMATION PAR LA CNIL DE L'ILLÉGALITÉ DE GOOGLE ANALYTICS
À la suite d’une plainte déposée par l’association autrichienne NOYB, à l’encontre d’une centaine de gestionnaires de sites web, parmi lesquels, Sephora, Decathlon France et Auchan e-commerce France, la CNIL a mis en demeure, l’une de ces entreprises, de se conformer au RGPD en cessant d’utiliser Google Analytics dans les conditions actuelles ou en optant pour un autre outil d’analyse.
Mais pourquoi ?
Pour rappel, la fonctionnalité Google Analytics permet de mesurer l’audience d’un site et de comprendre le comportement des internautes.
Toutefois, cette analyse nécessite au préalable, l’attribution, à chaque visiteur, d’un identifiant unique, et la collecte des données qui y sont associées, lesquelles sont assimilées à des données personnelles. Cette collecte implique un transfert de ces données vers les Etats-Unis.
Or, il n’existe aucun accord encadrant la protection des données personnelles entre l’Union européenne et les Etats-Unis. Et pour cause, en application de l’arrêt « Schrems II » en date du 16 juillet 2020, la CJUE a invalidé le « Privacy Shield » au motif que les données transférées aux Etats-Unis risquaient d’être exposées aux services de renseignements américains.
En conséquence, la CNIL considère que les transferts de données en cause violaient les articles 44 et suivants du RGPD, l’outil d’analyse Google Analytics n’apportant pas de garanties suffisantes en matière de protection des données.
Cette mise en demeure est une manière de pousser Google à prendre des mesures pour se soumettre aux règlementations européennes.
La CNIL prévient que d’autres outils utilisés par des sites sont dans son viseur.
En attendant nous vous invitons à suivre les recommandations de la CNIL en matière d’outils de mesure d’audience. Et à suivre attentivement les préconisations que nous vous formulerons.
