La Cnil renforce sa position contre les transferts de données vers les États-Unis : le cas de Google Analytics
La Cnil a publié, jeudi 10 février 2022, un article[1], [2], annonçant la mise en demeure d’un gestionnaire de site web français vis-à-vis de l’utilisation de la solution Google Analytics du géant américain pour cause de transfert hors UE. Le 25 mars 2022, Joe Biden et Ursula von der Leyen ont annoncé un accord de principe sur ce sujet. Dans l’attente de la publication d’un texte à propos du transfert des données entre l’UE et les USA, vous trouverez ci-dessous quelques informations pour comprendre la situation et conseiller vos clients pour accompagner leur mise en conformité.
Google Analytics est un outil de mesure d’audience de site web et un des leaders dans le domaine avec plus de 80% des parts de marché dans le monde.
Pour fonctionner, l’outil envoie certaines données à caractère personnel (DCP) vers les serveurs de Google localisés aux Etats-Unis :
Transfert de données
Jusqu’en 2020, ce transfert était encadré par le EU-US Privacy Shield qui autorisait les échanges de DCP entre les deux continents. Or, le 16 juillet 2020, la cour de justice de l’Union Européenne (CJUE) a mis fin à cet accord avec l’arrêt Schrems II, jugeant qu’il ne fournissait pas de protection suffisante vis-à-vis de la réglementation européenne de protection des données (RGPD).
Depuis, Google a mis en place des clauses contractuelles types (CCT) avec ses clients pour :
- Garantir un niveau de protection suffisant des données
- Légaliser le transfert des DCP aux Etats-Unis
- Permettre l’utilisation de son service par ses clients
Note : les CCT sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne pour transférer des données vers un pays tiers (exemple : Etats-Unis) [6]
Législation américaine
Or, dans son article, la Cnil précise qu’en tant que fournisseur de communications électroniques, Google est sujet à l’article 702 de la loi américaine sur les renseignements (FAA). Google a par conséquent l’obligation, dans le cadre de la loi FAA, de fournir au gouvernement américain des données personnelles indépendamment du contenu des clauses CCT, ce qui n’est pas conforme au RGPD.
Aussi, les mesures supplémentaires (notamment techniques) mises en place par Google sont jugées insuffisantes par la Cnil pour protéger les données DCP contre de tels accès.
Par ailleurs, il n’existe aucun moyen technique d’empêcher le transfert des données DCP vers les Etats-Unis : l’outil ne le permettant pas.
Cela explique la mise en demeure de la Cnil et la non-conformité vis-à-vis du RGPD de l’utilisation du service Google Analytics.
Réponses européennes
L’actuelle mise en demeure concerne un gestionnaire de site web français. Comme le précise l’article, d’autres actions sont en cours au niveau européen pour faire suite aux plaintes déposées par l’association viennoise NOYB.
Nous pouvons donc nous attendre à des décisions similaires dans les prochaines semaines par les autorités de contrôle européennes. En effet, la Cnil est d’ores et déjà en train de s’intéresser aux plaintes portées à l’encontre de sociétés françaises de retail, équipementier sportif, parfumerie.
Solutions
Dans un autre article publié le 23 septembre 2021, la Cnil propose des alternatives pour faire de la mesure d’audience des sites internet, qui présentent le double avantages d’être :
- Conforme au RGPD, c’est-à-dire sur le traitement des données à caractère personnel des utilisateurs
- Conforme à la directive européenne ePrivacy sur l’utilisation des cookies
En effet, pour chaque outil, la Cnil propose une configuration avec laquelle son utilisation serait exemptée de consentement.
Parmi ces outils figurent (entres autres) :
Conclusion
Nous recommandons donc l’usage d’une des solutions alternatives proposées par la Cnil ou tout autre solution européenne dont les données seraient hébergées sur le continent.
Les plus lus…
Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Commandez la version papier du magazine Face au Risque pour un confort de lecture optimal. N.B. Les frais de port sont de 7,50 € TTC, quel que soit le nombre de magazines commandés.Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Cette version du magazine numérique vous est proposée en consultation de type "flipbook" (tourné de page, zoom). Chaque numéro acheté sera consultable à partir de l'onglet "Mes magazines numériques" présent dans votre compte. N.B. Un flipbook n'est pas un fichier PDF téléchargeable.En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…