Transférer des données collectées avec Google Analytics vers les États-Unis est illégal, estime la CNIL
Les garanties proposées par Google « ne suffisent » plus à protéger les données des Européens collectés par Google Analytics et envoyées aux États-Unis, selon la CNIL qui, par sa décision, confirme que les jours sont peut-être comptés pour le service d'analyse d'audience web.
Les garanties proposées par Google « ne suffisent » plus à protéger les données des Européens collectés par Google Analytics et envoyées aux États-Unis, selon la CNIL qui, par sa décision, confirme que les jours sont peut-être comptés pour le service d’analyse d’audience web.
Nouveau coup dur pour Google. La Commission nationale de l’informatique et des libertés (CNIL), a estimé jeudi (10 février) que les transferts de données vers les États-Unis collectés grâce au service Google Analytics sont illégaux, près d’un mois après que l’autorité autrichienne de la protection des données, la Datenschutzbehörde, est parvenue aux mêmes conclusions.
Google Analytics est une fonctionnalité permettant d’examiner les statistiques de fréquentation d’un site web. Lorsqu’elle est intégrée, chaque visiteur reçoit un identifiant unique qui donne lieu à des données qui sont ensuite transférées, puis traitées, sur le sol américain par Google.
Mais l’autorité indépendante française a jugé que, en l’absence d’accord entre les États-Unis et les 27, les mesures supplémentaires apportées par Google pour encadrer ces transferts « ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données ».
Cette annonce fait suite à l’invalidation en juillet 2020 par la Cour de justice de l’UE (CJUE) du précédent régime d’adéquation garantissant un niveau de protection des données personnelles équivalent entre les États-Unis et l’UE, le « Privacy Shield ».
La CJUE avait alors confirmé qu’il y avait un risque que les services de renseignement américains accèdent aux données personnelles transférées outre-Atlantique.
Depuis lors, un nouvel accord entre les États-Unis et l’UE est en discussion, sans véritables avancées notables jusqu’à maintenant. « Les décisions actuelles concernant Google Analytics sont susceptibles d’accroître la pression exercée sur les États-Unis pour qu’ils fassent des concessions sur la protection des données des citoyens européens », analyse Stefan Hessel, avocat spécialiste des questions numériques au sein du cabinet de conseil reuschlaw.
La décision intervient en réponse aux 101 plaintes déposées auprès de toutes les autorités de protection de données européennes par l’organisation noyb, fondée en 2017 par l’activiste Max Schrems, à l’origine de l’arrêt de la CJUE de juillet 2020.
« C’est seulement le début », explique Romain Robert, directeur de programme chez noyb, à EURACTIV. «Tous les autres pays membres vont suivre de concert », ajoute-t-il.
Dans son communiqué, la CNIL souligne que son analyse a été effectuée « en coopération avec ses homologues européens ».
Plus récemment, le collectif InterHop, qui promeut et développe l’utilisation des logiciels libres et open-sources pour la santé, avait également exhorté la CNIL à se saisir de cette problématique.
« Nous attendons avec patience le résultat des mises en demeure faites par la CNIL dans le domaine de la santé », a indiqué un porte-parole de l’organisation, sollicité par EURACTIV, en réaction à l’annonce de la CNIL. « Pour les gestionnaires de sites traitant des données personnelles en contexte de santé il en va de leurs responsabilités réglementaires et surtout éthiques », a-t-il ajouté.
Mise en demeure
Sur la base de l’article 44 du Règlement général sur la protection des données (RGPD), qui encadre les transferts de données vers des pays tiers, la CNIL a ainsi mis en demeure un gestionnaire de site web qui doit se mettre en conformité sous un mois. Son identité n’est néanmoins pas dévoilée.
Interrogée par EURACTIV, la CNIL juge qu’il est « important de sensibiliser un maximum de responsables de traitement qui utiliserait l’outil, sans qu’il ne soit utile de citer le nom d’un gestionnaire en particulier ».
D’après les informations obtenues par EURACTIV, cette procédure vise un site de vente en ligne. À en croire la liste des entreprises visées par la saisine de noyb, il pourrait donc s’agir de Leroy Merlin, Decathlon France, Auchan ou Sephora.
La CNIL précise également que l’usage de Facebook Connect est également dans son viseur et « fait l’objet de plaintes dont la CNIL est saisie et qui sont en cours d’instruction ».
Google n’a pas répondu aux sollicitations d’EURACTIV au moment de la publication.
