Jeudi 10 février, la Commission nationale de l’informatique et des libertés a annoncé avoir mis en demeure le gestionnaire d’un site web français du fait de son utilisation de Google Analytics.
Google Analytics est une fonctionnalité qui permet aux gestionnaires des sites web de mesurer les fréquentations de leur site internet. Un identifiant unique est attribué à chaque visiteur. Cet identifiant, qui constitue une donnée personnelle, et les données annexes qui lui sont associées sont transférées à Google Analytics par Google jusqu’aux États-Unis.
À la suite d’une plainte déposée par l’association NOYB, la Cnil a analysé les conditions dans lesquelles les données collectées étaient transférées vers les États-Unis, notamment si les services de renseignement américains pouvaient accéder à celles-ci.
En s’appuyant sur l’arrêt « Schrems II » du 16 juillet 2020, la Cnil considère que les flux vers les États-Unis sont actuellement insuffisamment réglementés au regard de l’absence de décision d’adéquation, et que des garanties appropriées doivent être prévues. Si la Cnil reconnaît que Google a adopté des mesures supplémentaires pour réglementer les transferts de données dans le cadre de l’utilisation de Google Analytics, elle considère que « celles-ci ne sont pas suffisantes pour exclure l’accessibilité de ces données aux services de renseignements américains ».
Les sites internet visés par les plaintes ont ainsi reçu une mise en demeure de la Cnil pour violation des articles 44 et suivants du RGPD, et disposent d’un mois pour se mettre en conformité.
Bien que Google ne soit pas directement visée, l’entreprise américaine a déclaré souhaiter ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Ils pourraient ainsi, selon Google, continuer à profiter de Google Analytics tout en atteignant leurs objectifs de conformité. Google précise qu’une communication sera apportée « dans les semaines à venir » à ce sujet.
En attendant, la Cnil a indiqué avoir engagé des procédures de mises en demeure à l’encontre d’autres gestionnaires de sites internet utilisant Google Analytics.
Dans ce contexte, les responsables de traitement sont invités à réfléchir à des solutions alternatives. À titre d’exemple, la Cnil recommande que ces outils soient uniquement utilisés pour produire des données statistiques anonymes permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux.
Elle a par ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
Présenté par Me. Antoine Jacquemart
Droit de la propriété intellectuelle, droit du numérique & droit des marques
