L’autorité française de protection des données, la CNIL, a déclaré que Google Analytics enfreint la loi européenne sur la protection de la vie privée et le règlement général sur la protection des données (RGPD) car il transfère les données des internautes européens vers l’Amérique.
Dans un déclaration ce matin La CNIL a déclaré qu’elle « considérait ces transferts comme illégaux », faisant ainsi un grand trou dans l’utilisation française de l’une des suites de comptage de trafic les plus omniprésentes au monde.
Les détails précis des lois enfreintes par Google Analytics n’ont pas été expliqués dans la déclaration. Nous avons demandé plus de détails à la CNIL et mettrons à jour cet article si elle répond.
La décision, bien qu’applicable uniquement en France, est susceptible de trouver un écho dans l’Union européenne : la CNIL a confirmé qu’elle avait pris sa décision en coopération avec ses autres homologues de l’UE chargés de la protection des données – et la décision d’aujourd’hui miroirs celui fabriqué par l’Autriche il y a un mois.
Célébrant cette décision, le militant de la protection de la vie privée Max Schrems, dont les plaintes avaient déclenché l’enquête de la CNIL, s’est réjoui : « À long terme, nous avons soit besoin de protections appropriées aux États-Unis, soit nous nous retrouverons avec des produits séparés pour les États-Unis et l’UE. préfèrent personnellement de meilleures protections aux États-Unis, mais cela dépend du législateur américain – pas de n’importe qui dans [the EU]. »
La décision de la CNIL a constaté que le fonctionnement de Google Analytics contrevenait article 44 et suivants du Règlement général sur la protection des données de l’UE. L’agence française a lu la directive de l’UE ainsi que le célèbre arrêt Schrems II de la Cour de justice de l’UE, qui a annulé l’ancien bouclier de confidentialité accord transatlantique de partage de données.
Le régulateur a ordonné à un gestionnaire de site Web anonyme de retirer Google Analytics de son site, lui donnant un mois pour se conformer. Elle ajoute : « Concernant les services de mesure et d’analyse d’audience d’un site Internet, la CNIL recommande que ces outils ne soient utilisés que pour produire des données statistiques anonymes, permettant ainsi une dispense de consentement si le responsable du traitement s’assure qu’il n’y a pas de transferts illégaux. »
La décision se résume au fait que les États-Unis n’ont pas de lois de protection des données de type européen empêchant le transfert secret de données personnelles des entreprises aux forces de l’ordre et aux agences d’espionnage américaines. Néanmoins, les États-Unis et le bloc politique ont, jusqu’à présent, a truqué la question en publiant des clauses contractuelles types qui permettent au commerce de continuer pendant que les politiciens marchandent une solution permanente au problème.
Article 44 du le RGPD dit « le traitement doit être licite lorsqu’il est nécessaire dans le cadre d’un contrat » tandis que l’article 45 stipule :
La décision de la CNIL réitère la conclusion autrichienne selon laquelle le fonctionnement automatique de Google Analytics (pensez à toutes les cases de désactivation des cookies qui placent les analyses sous la rubrique « nécessaire et non désactivable ») ne remplit pas les conditions « nécessaires à l’exécution d’une tâche ». » exemption dans le RGPD.
Google n’a pas immédiatement répondu à une demande de commentaire.
Une action en justice intentée aux États-Unis l’année dernière alléguait que Google Analytics peut toujours suivre les utilisateurs de son navigateur Chrome en mode incognito. ®
Note d’information
Le registre utilise Google Analytics, comme spécifié dans l’avis sur les cookies affiché à tous ceux qui parcourent nos activités numériques.