Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web
Saisie de plusieurs plaintes par l'association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à Google Analytics, outils qui permet de disposer de statistiques de fréquentation d'un site web, sont transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées.
Estimant que ces transferts sont illégaux, elle a imposé à un gestionnaire du site web français de se conformer au
L'occasion a été donnée à la CNIL de notamment « tirer collectivement les conséquences de l'arrêt Schrems II » du 16 juillet 2020 ayant invalidé le Privacy Shield, la CJUE ayant mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n'étaient pas correctement encadrés (V. Transfert de données UE-USA : la CJUE annule le Privacy Shield).
Transferts insuffisamment encadrés. – Au terme de son analyse, la CNIL est parvenue à la conclusion que les transferts vers les États-Unis ne sont « pas suffisamment encadrés à l'heure actuelle ». Sachant qu'« en l'absence de décision d'adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du
Violation du
À retenir également. - Concernant les services de mesure et d'analyse d'audience d'un site web, la CNIL recommande que ces outils « servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s'assure qu'il n'y a pas de transferts illégaux ». La Commission a d'ailleurs lancé un programme d'évaluation pour déterminer les solutions exemptées de consentement.
« D'autres procédures de mises en demeure ont été engagées par la CNIL à l'encontre de gestionnaires de sites utilisant Google Analytics. » Et l'enquête de la Commission et de ses homologues « s'étend également à d'autres outils utilisés par des sites et qui donnent lieu à des transferts de données d'internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement ».