La Cnil considère que le transfert de données personnelles effectué vers les Etats-Unis par la console Google Analytics n’est pas conforme au RGPD. La Cnil a mis en demeure un gestionnaire de site web qui utilise Google Analytics de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics dans les conditions actuelles ou en ayant recours à un outil n’entraînant pas de transfert hors de l’Union Européenne. Le gestionnaire de site mis en cause dispose d’un délai d’un mois pour se mettre en conformité.
D’autres gestionnaires de sites également mis en demeure
D’autres procédures de mises en demeure de gestionnaires de sites utilisant Google Analytics ont été engagées par la Cnil. La démarche de la Cnil repose sur le fait que Google Analytics attribue un identifiant unique à chaque visiteur de site web afin de mesurer la fréquentation d’un site web, que cet identifiant est une donnée personnelle et que les données qui lui sont associées sont transférées par Google aux Etats-Unis.
Cette publication de la Cnil intervient après qu’elle ait été saisie de plusieurs plaintes par l’association NOYB (None of Your Business) du juriste autrichien Max Schrems concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.
Une analyse menée au niveau européen
La Cnil, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. La Cnil indique qu’il s’agit de tirer les conséquences de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La Cnil rappelle que la Cour de justice européenne avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.
La Cnil conclut que les transferts de données vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. La Cnil a constaté que si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. L’enquête de la Cnil et de ses homologues au niveau européen s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement.
L’utilisation de Google Analytics est illégale selon Max Schrems
« Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l’utilisation de Google Analytics est illégale » commente Max Schrems, président honoraire de NOYB à la suite de l’avis publié par la Cnil. NOYB demande l’usage de solutions de mesure ne transmettant pas leurs données aux Etats-Unis.
À long terme, NOYB indique qu’il semble y avoir deux options. Soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger des données étrangères en dehors des États-Unis. « À long terme, nous avons besoin de protections adéquates aux États-Unis, ou nous nous retrouverons avec des produits séparés pour les États-Unis et l’Union Européenne. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain et à personne en Europe » termine Max Schrems.