Au total, l’association a déposé 101 réclamations dans les 27 États membres de l’UE et trois autres États de l’espace économique européen (EEE). Google Analytics est devenu un outil quasiment incontournable pour gérer un site Web. Il permet de collecter des données sur les visiteurs afin d’en évaluer la fréquentation.
Toutefois, ce sont des données personnelles, et elles sont transférées vers les serveurs de Google aux États-Unis. Cela est devenu un problème depuis l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE).
Celui-ci a invalidé le Privacy Shield, l’accord qui autorisait le transfert de données entre l’Europe et les États-Unis. La CNIL s’inquiète de l’ingérence des services de renseignements américains, notamment à cause du Cloud Act. Celui-ci autorise les autorités américaines à accéder aux données hébergées par des entreprises américaines, peu importe dans quel pays se trouvent les serveurs. En l’état, l’utilisation de Google Analytics par un site européen contrevient aux articles 44 et suivants du Règlement Général sur la Protection des Données (RGPD).
La CNIL annonce avoir mis en demeure le gestionnaire d’un site français dans son communiqué publié sur son site. Elle a également lancé des procédures contre d’autres gestionnaires de sites et enquête sur d’autres outils. Trouver une bonne alternative qui n’enfreint pas la RGPD pourrait toutefois se révéler compliqué. Dans le cadre de l’utilisation de Google Analytics, un identifiant unique est attribué à chaque visiteur. Cet identifiant, qui est une donnée personnelle, et les données qui lui sont associées «sont transférées par Google aux Etats-Unis».
Or, «ces transferts» ne sont «pas suffisamment encadrés à l’heure actuelle, déclare l’autorité française. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées». «Le raisonnement juridique n’est pas nouveau», explique Alan Walter, avocat spécialisée dans les nouvelles technologies et la propriété intellectuelle au sein du cabinet Walter Billet Avocats, interrogé par L’Usine Digitale. Il fait référence à la décision majeure rendue par la Cour de justice de l’Union européenne en juillet 2020, dite «Schrems II». Elle a invalidé le Privacy Shield, un texte reconnaissant que la législation américaine offrait un niveau équivalent de protection que le Règlement général sur la protection des données (RGPD).
Toutefois, ce sont des données personnelles, et elles sont transférées vers les serveurs de Google aux États-Unis. Cela est devenu un problème depuis l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE).
Celui-ci a invalidé le Privacy Shield, l’accord qui autorisait le transfert de données entre l’Europe et les États-Unis. La CNIL s’inquiète de l’ingérence des services de renseignements américains, notamment à cause du Cloud Act. Celui-ci autorise les autorités américaines à accéder aux données hébergées par des entreprises américaines, peu importe dans quel pays se trouvent les serveurs. En l’état, l’utilisation de Google Analytics par un site européen contrevient aux articles 44 et suivants du Règlement Général sur la Protection des Données (RGPD).
La CNIL annonce avoir mis en demeure le gestionnaire d’un site français dans son communiqué publié sur son site. Elle a également lancé des procédures contre d’autres gestionnaires de sites et enquête sur d’autres outils. Trouver une bonne alternative qui n’enfreint pas la RGPD pourrait toutefois se révéler compliqué. Dans le cadre de l’utilisation de Google Analytics, un identifiant unique est attribué à chaque visiteur. Cet identifiant, qui est une donnée personnelle, et les données qui lui sont associées «sont transférées par Google aux Etats-Unis».
Or, «ces transferts» ne sont «pas suffisamment encadrés à l’heure actuelle, déclare l’autorité française. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées». «Le raisonnement juridique n’est pas nouveau», explique Alan Walter, avocat spécialisée dans les nouvelles technologies et la propriété intellectuelle au sein du cabinet Walter Billet Avocats, interrogé par L’Usine Digitale. Il fait référence à la décision majeure rendue par la Cour de justice de l’Union européenne en juillet 2020, dite «Schrems II». Elle a invalidé le Privacy Shield, un texte reconnaissant que la législation américaine offrait un niveau équivalent de protection que le Règlement général sur la protection des données (RGPD).
Rime TAYBOUTA