Transfert de données personnelles: la Cnil pointe les risques de l’outil Google Analytics

229

La Commission nationale de l’informatique et des  libertés (Cnil) a annoncé jeudi la mise en demeure d’un éditeur de site web utilisant l’outil Google Analytics, qualifiant d’»illégaux» les transferts de données vers les États-Unis, et allant dans le sens d’une décision du régulateur autrichien en janvier. 

Saisie par l’ONG autrichienne de défense de la vie privée NOYB («None of Your Business»: «ce ne sont pas vos affaires»), la Cnil a estimé que les conditions de transfert des données collectées par cet outil statistique, faute d’encadrement, pouvaient exposer les utilisateurs français à des programmes de surveillance aux États-Unis. 

«Si Google a adopté des mesures supplémentaires pour encadrer les transferts (…) celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignement américains à ces données», estime le régulateur. 

Cet éditeur – dont la Cnil n’a pas dévoilé le nom – dispose désormais d’un mois pour se conformer au règlement européen sur la protection des données (RGPD), en cessant d’utiliser l’outil Google Analytics dans les conditions actuelles. 

Passé ce délai, il pourra faire l’objet de sanctions. Omniprésent sur internet, Google Analytics sert à récolter des statistiques sur la fréquentation d’un site web. Deux autres gestionnaires de sites français sont également visés par des plaintes pour son utilisation, a indiqué la Cnil. «Tous les acteurs sont invités à se poser la question» du recours à cet outil et «doivent se sentir alertés» par cette décision, a souligné une responsable de la Cnil. Cette mise en demeure marque un nouveau rebondissement dans la saga des transferts de données entre l’Europe et les États-Unis, après une première  décision de l’autorité autrichienne visant Google mi-janvier. 

Le groupe américain s’était alors efforcé de minimiser cette décision et avait appelé l’Union européenne et les États-Unis à négocier au plus vite un nouveau cadre juridique. «Il est intéressant de noter que les différentes autorités de protection des données européennes arrivent toutes à la même conclusion: l’usage de Google Analytics est illégal», a salué Max Schrems, fondateur de NOYB, dans un communiqué. 

Au total, l’ONG a déposé 101 plaintes en Europe contre des responsables de traitement transférant des données personnelles, récoltées par Google Analytics ou son homologue Facebook Connect. L’ONG avait ouvert la voie à ces procédures en arrachant en juillet 2020 l’invalidation de l’accord sur le transfert des données personnelles vers les États-Unis (appelé Privacy Shield) par la Cour de justice de l’Union européenne (CJUE).