La CNIL interdit à un site web l’utilisation de Google Analytics

La CNIL met en demeure un site internet d’arrêter d’utiliser Google Analytics ou tout autre outil d’analyse et de mesures d’audience transférant des données outre-Atlantique. Une décision qui devrait faire date en France.

Serait-ce la fin pour Google Analytics, ce service du géant américain intégré par de nombreux gestionnaires de sites web pour mesurer leur fréquentation ?

Si la réponse est non, la CNIL (Commission nationale de l’informatique et des libertés) vient toutefois de jeter un pavé dans la mare en mettant ce jeudi en demeure un site internet – à l’identité non communiquée – de mettre dans un délai d’un mois « en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE ».

Saisie par l’association Noyb (None of Your Business) concernant le respect du RGPD (Règlement général sur la protection des données) lors du transfert outre-Atlantique de données collectées via l’outil développé par Google, la CNIL vient ainsi, avec cette décision forte, de jeter un froid sur une très grande partie de l’écosystème de la publicité en ligne. Pourquoi ? Parce que les revenus publicitaires des éditeurs sont très souvent basés sur les chiffres d’audience des sites fournis par Google Analytics.

Offensive européenne

Le gendarme français des données personnelles n’est pas le seul à pointer du doigt non seulement l’outil de Google, mais aussi, et surtout le transfert de données vers les Etats-Unis. La CNIL indique en effet être accompagnée des autres gendarmes européens des données personnelles, saisis en tout d’un total de 101 réclamations déposées par Noyb dans les 27 Etats membres de l’UE et trois autres pays européens.

« En l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les Etats-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment », fait valoir la CNIL.

« Or, ce n’est pas le cas », tranche l’Autorité. Et quand bien même « Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données », conclut l’Autorité, pour qui « il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».

Google Analytics pas seul concerné

Résultats des courses : « la CNIL constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD ». Le gestionnaire du site à l’origine de sa saisine a désormais un mois pour se mettre en conformité avec le RGPD. Un avis qui devrait faire jurisprudence et amener de nombreux sites à revoir leur utilisation de Google Analytics.

Pour que la menace soit encore plus claire, la CNIL précise d’ailleurs que « d’autres procédures de mises en demeure ont été engagées à l’encontre de gestionnaires de sites utilisant Google Analytics ». Pour l’Autorité, il s’agit avant tout de faire respecter la conformité au RGPD du transfert de données de citoyens européens vers les Etats-Unis. Un transfert imposé outre-Atlantique par le Cloud Act, cette loi fédérale adoptée en 2018 permettant aux autorités américaines d’accéder aux données sur les serveurs, quelle que soit leur localisation, à partir du moment où la société visée est américaine ou a des liens économiques avec les Etats-Unis.

Conséquence, depuis l’arrêt Schrems II, du nom du fondateur de l’association Noyb, la Cour de Justice de l’Union européenne (CJUE) a cassé en juillet 2020 l’accord Privacy Shield qui encadrait le transfert de données vers les Etats-Unis depuis 2016.

Si Google Analytics fait figure de mastodonte des outils d’analyse et de mesure d’audience sur la toile, la CNIL recommande une anonymisation des données issues de ces outils « permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux ». La plateforme de Google n’est donc pas seule sur le banc des accusés, qui comprend « d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les Etats-Unis ». Autant de services qui pourraient faire l’objet de « mesures correctrices à ce sujet pouvant être adopté prochainement », précise la CNIL.

Source zdnet.fr