En France, la CNIL déclare illégale l'utilisation de Google Analytics (update)
Après l’organe de régulation autrichien en matière de protection des données, c’est au tour de son homologue français, la CNIL, d’estimer que l'utilisation de Google Analytics enfreint le RGPD. Visiblement inquiet, Google a récemment appelé l’UE et les USA a rapidement trouvé un nouvel accord pour encadrer le transfert de données vers les Etats-Unis.
Mise à jour du 14 février 2022: Après l'autorité autrichienne de protection des données, c'est au tour de son homologue français, la CNIL (Commission nationale de l'Informatique et des libertés) de conclure que l'utilisation de Google Analytics enfreint le règlement général européen sur la protection des données (RGPD). Le service transmet les données personnelles des utilisateurs aux Etats-Unis - ce transfert de données est considéré comme illégal, explique l'organe de régulation dans un communiqué.
La CNIL concède que Google a pris des mesures pour réglementer le transfert de données de Google Analytics vers les Etats-Unis, mais jugent que les initiatives en question «ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.» La CNIL a ordonné à l'exploitant d'un site web français de cesser d'utiliser Google Analytics dans les conditions actuelles et, le cas échéant, d'utiliser un autre outil qui ne transfère pas de données personnelles vers les Etats-Unis. L'autorité donne à l'exploitant concerné un délai d'un mois pour se mettre en conformité.
La décision a été motivée par une plainte de l'organisation de protection des données Noyb (acronyme de «none of your business»), fondée par fondée par l'activiste Maximillian Schrems. Après l'arrêt de la Cour européenne de justice invalidant le Privacy Shield, l'organisation a déposé plus de 100 plaintes de ce type auprès de toutes les autorités européennes de protection des données. On peut donc s’attendre à des décisions similaires dans d'autres pays de l'UE. «Les différentes autorités européennes de protection des données arrivent toutes à la même conclusion: l'utilisation de Google Analytics est illégale», déclare Max Schrems dans un communiqué de Noyb.
News originale du 24 janvier 2022: Les pays européens vont-ils tous interdire Google Analytics?
Google est plus que jamais dans le collimateur des agences de protection des données européennes. Google Analytics enfreindrait le RGPD (règlement général sur la protection des données). C’est eutre autres l’avis des autorités autrichiennes, qui ont récemment jugé non conforme au RGPD l'utilisation de Google Analytics sur une plateforme d'informations médicales (NetDoktor). En réponse à une plainte de l'association Noyb, fondée par l'activiste Maximillian Schrems, le régulateur autrichien chargé de la protection des données a en l'occurrence estimé que les données transférées aux Etats-Unis par l'outil de web analytics de Google étaient insuffisamment protégées, soulignant que des agences de renseignements US pourraient y accéder.
Suite de cette décision, l’autorité néerlandaise chargée des données personnelles a fait savoir qu’elle enquêtait à propos de deux plaintes concernant également l'utilisation de Google Analytics. Des enquêtes qui pourraient déboucher sur l’interdiction de l'outil par les entreprises bataves.
Une centaine de plaintes déposées
Ces actions en justice sont la conséquence de l'invalidation, en 2020, du Privacy Shield par la Cour de justice de l'Union européenne (CJUE). Cette décision, prise suite à de précédentes plaintes déjà déposées par Maximillian Schrems, a rendu caduc l’accord qui encadrait le transfert de données vers les Etats-Unis.
D’autres jugements similaires à celui des autorités autrichiennes devraient suivre, l'association Noyb ayant également déposé 100 autres dossiers auprès d'autres autorités de protection des données en Europe, indique Wired. Max Schrems a expliqué au site spécialisé que ces actions ne ciblent pas seulement Google Analytics mais les pratiques d'externalisation vers des fournisseurs américains en général.
Google veut rapidement un nouvel accord succédant au Privacy Shield
Ces décisions et procédures judiciaires commencent manifestement à inquiéter Google. Dans un billet de blog, Kent Walker, vice-président des affaires mondiales et directeur juridique de Google, appelle à rapidement mettre en place un nouvel accord de transfert de données entre l’Union européenne et les Etats-Unis.
Concernant la décision des autorités autrichiennes, il affirme que les services liés à Analytics, proposés depuis plus de 15 ans, n'ont jamais fait l’objet d’une demande des agences de renseignements ou forces de l'ordre américaines. «Un cadre durable - qui assure la stabilité des entreprises offrant des services précieux en Europe - aidera tout le monde, dans ce moment critique pour nos économies. Un nouveau cadre renforcera la relation transatlantique, assurera la stabilité du commerce transatlantique, aidera les entreprises de toutes tailles à participer à l'économie numérique mondiale et évitera des perturbations potentiellement graves des chaînes d'approvisionnement et du commerce transatlantique», estime le directeur juridique de Google.