Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web

Saisie de plusieurs plaintes par l'association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à Google Analytics, outils qui permet de disposer de statistiques de fréquentation d'un site web, sont transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées.

Estimant que ces transferts sont illégaux, elle a imposé à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.

L'occasion a été donnée à la CNIL de notamment « tirer collectivement les conséquences de l'arrêt Schrems II » du 16 juillet 2020 ayant invalidé le Privacy Shield, la CJUE ayant mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n'étaient pas correctement encadrés (V. Transfert de données UE-USA : la CJUE annule le Privacy Shield).

Transferts insuffisamment encadrés. – Au terme de son analyse, la CNIL est parvenue à la conclusion que les transferts vers les États-Unis ne sont « pas suffisamment encadrés à l'heure actuelle ». Sachant qu'« en l'absence de décision d'adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis », le transfert de données « ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment ». Or, la CNIL a constaté que ce n'était pas le cas. Et la Commission d'indiquer que « si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d'accès des services de renseignements américains à ces données ». Il existe donc « un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».

Violation du RGPD. - La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis « en violation des articles 44 et suivants du RGPD ». Aussi, elle « met endemeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d'avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n'entraînant pas de transfert hors UE ». Le gestionnaire de site en cause dispose d'un délai d'« un mois pour se mettre en conformité ».

À retenir également. - Concernant les services de mesure et d'analyse d'audience d'un site web, la CNIL recommande que ces outils « servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s'assure qu'il n'y a pas de transferts illégaux ». La Commission a d'ailleurs lancé un programme d'évaluation pour déterminer les solutions exemptées de consentement.

« D'autres procédures de mises en demeure ont été engagées par la CNIL à l'encontre de gestionnaires de sites utilisant Google Analytics. » Et l'enquête de la Commission et de ses homologues « s'étend également à d'autres outils utilisés par des sites et qui donnent lieu à des transferts de données d'internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement ».