Google Analytics mis en demeure par la CNIL

Google Analytics, c’est quoi ?

Google Analytics est l’outil statistique de Google qui permet à tout administrateur de site internet d’analyser son audience.

En plus de fournir l’évolution graphique et chiffrée de l’audience d’un site, les rapports de Google Analytics indiquent également comment les visiteurs naviguent sur un site, ce qu’ils y font et comment ils y sont arrivés.

Dans ce cadre, chaque visiteur se voit attribuer un identifiant unique. Cet identifiant (qui constitue une donnée personnelle) ainsi que les données qui lui sont associées sont transférés par Google aux États-Unis.

101 réclamations ont été déposées par NOYB

La CNIL a été informée de plusieurs plaintes par l’association NOYB (None Of Your Business) au sujet du transfert de données collectées vers les États-Unis, lors de visites sur des sites web utilisant Google Analytics.

En tout, dans les 27 états membres de l’Union européenne et les trois autres états de l’espace économique européen (EEE), 101 réclamations ont été déposées par NOYB à l’encontre de 101 responsables de transfert de données personnelles aux États-Unis.

Une analyse sur le plan européen

La CNIL a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Finalement, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la Privacy Shield (bouclier de protection des données) en précisant qu’elle ne constitue plus une garantie juridique suffisante pour transmettre des données personnelles de l’Union européenne vers les États-Unis.

Les conséquences à l’échelle de la France

La CNIL conclut qu’à l’heure actuelle, les transferts vers les États-Unis ne sont pas suffisamment réglementés. En effet, en l’absence de mesures adéquates relatives aux transferts vers les États-Unis, ceux-ci ne peuvent s’effectuer que si des garanties appropriées sont prévues.

Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données pour Google Analytics, elles ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les usagers de sites français qui utilisent cet outil et dont les données sont exportées.

La CNIL relève que les données des internautes sont ainsi transmises aux États-Unis en infraction aux articles 44 et suivants du RGPD. Par conséquent, elle impose aux gestionnaires de sites de rendre ces traitements conformes au RGPD, notamment en arrêtant l’utilisation de Google Analytics ou en utilisant un outil qui n’implique pas de transfert en dehors de l’UE.

En ce qui concerne les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils soient utilisés exclusivement pour produire des données statistiques anonymes. Cela permet ainsi l’exemption du consentement si le responsable de traitement veille à ce qu’il n’y ait pas de transfert illégal. Par ailleurs, la CNIL a lancé un programme d’évaluation visant à déterminer les solutions dispensées du consentement.

L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures de correction à cet égard pourraient être adoptées sous peu.