La CNIL, l’organisme français de surveillance de la protection des données, a publié mise à jour des lignes directrices sur l’utilisation de Google Analytics à la suite d’une décision plus tôt cette année qui a conclu que l’utilisation de l’outil par un site Web local était contraire au droit de l’Union.

Il a également confirmé qu’il avait depuis émis des mises en demeure à d’autres organisations pour qu’elles mettent en conformité leur utilisation de Google Analytics.

La question juridique – qui n’affecte pas seulement l’utilisation de l’outil d’analyse populaire en France, mais dans toute l’UE – repose sur le transfert des données des utilisateurs aux États-Unis pour traitement par Google – une exportation de données personnelles qui ne dispose pas de protections juridiques adéquates à la suite d’une décision rendue en 2020 par la plus haute cour d’Europe qui a invalidé un accord phare de transfert de données (aka, le bouclier de protection des données UE-États-Unis) sur le risque d’accès illégal aux données des Européens par les agences de renseignement américaines.

Depuis lors, l’UE et les États-Unis ont annoncé (en mars), un accord politique sur un mécanisme de transfert de remplacement.

Mais, comme le note la CNIL, leur déclaration commune n’est pas un cadre juridique et ne peut pas être invoquée par les utilisateurs de services cloud américains qui prennent les données des Européens au-dessus de l’étang pour les traiter avant qu’un accord de remplacement réel ne soit officiellement adopté par l’UE – que le La Commission a suggéré ne peut pas se produire avant la fin de l’année. (Il sera également presque certainement confronté à de nouveaux défis juridiques pour vérifier si l’accord est tout aussi défectueux que les précédents, comme les experts en protection des données soupçonnent.)

Publicité

En fin de compte, les sites Web de l’UE peuvent soit apporter des modifications à leur utilisation de Google Analytics, soit risquer l’application de la réglementation – ce qui pourrait inclure une ordonnance de modification de leurs processus et une sanction financière en cas de violation. Et il est probable que le risque d’amendes pour non-conformité augmente maintenant que les directives réglementaires sur la question deviennent plus détaillées, car cela signifie qu’il y a moins d’excuses plausibles pour ne pas avoir apporté les changements nécessaires.

« Tous les contrôleurs de données utilisant Google Analytics de la même manière que [already notified] les organisations doivent désormais considérer cette utilisation comme illégale en vertu du RGPD. Ils doivent donc se tourner vers un prestataire offrant des garanties de conformité suffisantes », prévient la CNIL dans le guide [which we’ve translated from French with machine translation].

Tous les sites qui reçoivent une notification formelle du régulateur concernant leur utilisation de Google Analytics ont un mois pour se conformer – avec la possibilité d’une prolongation d’un mois supplémentaire.

La FAQ de la CNIL sur l’utilisation de Google Analytics poursuit en suggérant qu’il est essentiellement impossible pour les organisations basées dans l’UE d’utiliser l’outil sans appliquer certaines garanties supplémentaires qui leur sont propres.

« Aucune des garanties supplémentaires présentées à la CNIL dans le cadre de la mise en demeure n’empêcherait ou ne rendrait inefficace l’accès des services de renseignement américains aux données personnelles des utilisateurs européens lorsqu’ils utilisent uniquement l’outil Google Analytics », écrit-il en réponse à la question de savoir s’il est possible de s’appuyer sur des garanties supplémentaires que Google prétend appliquer à l’outil.

Les clauses contractuelles types ne suffisent pas non plus à combler le vide juridique sur les exportations de données, souligne également la CNIL, notant qu’il n’est pas possible de configurer Google Analytics pour qu’il ne transfère pas les données personnelles des Européens en dehors de l’union et mettant en garde : « Même en l’absence de transfert, l’utilisation de solutions proposées par des entreprises soumises à des juridictions non européennes est susceptible de poser des difficultés en termes d’accès aux données. En effet, les organisations peuvent être obligées par les autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne.

Selon la FAQ, les éventuelles garanties supplémentaires que les utilisateurs de Google Analytics basés dans l’UE pourraient être en mesure d’appliquer pour utiliser l’outil sans enfreindre la loi sont limitées à: Cryptage (mais uniquement si les clés sont détenues sous le contrôle exclusif de l’exportateur de données ou d’autres entités établies sur un territoire offrant un niveau de protection adéquat); ou un serveur proxy (pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure).

Le régulateur suggère que l’obtention du consentement explicite des utilisateurs à un transfert de données peut également être valable – mais seulement dans des circonstances exceptionnelles, car la CNIL note que la dérogation ne peut pas être utilisée pour des transferts systématiques (qui sont essentiellement ce que sont les flux de données de Google Analytics). Le consentement explicite n’est donc pas une solution viable, même si vous pensiez que c’était une bonne idée de perturber chaque visiteur avec une telle demande.

La CNIL a déjà publié une liste d’outils d’analyse alternatifs il a déterminé qu’il peut être configuré de manière à éviter la nécessité générale d’obtenir le consentement de l’utilisateur pour le traitement des données. Cependant, il avertit que la liste ne tient pas compte de la question des transferts internationaux – par conséquent, les propriétaires de sites doivent encore faire leur propre travail pour déterminer si des outils d’analyse alternatifs, par exemple proposés par un fabricant de logiciels basé dans l’UE qui effectue tous les traitements dans l’UE, pourraient offrir une option moins risquée juridiquement que Google Analytics.

D’autres autorités de protection des données de l’UE (comme l’Autriche) ont également publié des sites Web avec des décisions relatives à l’utilisation non conforme de Google Analytics.

L’examen réglementaire a fait suite à une série de plaintes déposées par un groupe de défense de la vie privée de l’UE, noyb, de retour dans Août 2020 — ciblant Google Analytics et Facebook Connect. Ainsi, bien que l’outil d’analyse de Google ait été le premier en ligne pour les décisions DPA, le problème ne se limite pas à Google ni aux outils d’analyse et peut affecter beaucoup plus de services basés aux États-Unis avec des clients dans l’UE.

Google a été contacté pour une réponse aux conseils de la CNIL.


Rate this post
Publicité
Article précédentTaille du marché de l’externalisation des télécommunications et prévisions jusqu’en 2029
Article suivantL’organisme Français De Surveillance Des Données Met En Garde Contre L’utilisation Illégale De Google Analytics – TechCrunch
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici