La CNIL vient de statuer que Google Analytics viole le RGPD. L’invalidation du Privacy Shield, l’accord conclu en 2016 facilitant le transfert de données entre la Commission européenne et les États-Unis, par la Cour de justice de l’Union européenne en 2020 commence à montrer des lourdes conséquences deux ans plus tard.
Après que Meta (Facebook) ait partagé son inquiétude sur la possibilité d’un arrêt définitif des services Facebook, Instagram et WhatsApp en Europe dans un avenir proche si un nouveau cadre de transfert de données transatlantiques n’est pas trouvé, c’est maintenant autour de Google de voir ses services gênés par l’invalidation du Privacy Shield. Pour Google, le problème est même bien plus grave, car son service Google Analytics, jugé illégal par la France et l’Autriche, est déjà dans le viseur des autorités européennes.
La France, par l’intermédiaire de la CNIL vient de statuer que Google Analytics viole le RGPD après avoir découvert des irrégularités. Toute entreprise se servant de Google Analytics est donc désormais susceptible d’être sanctionnée par si le service gratuit d’analyse d’audience de site Web ne se met pas en règle rapidement, essayons d’en savoir un peu plus.
Sommaires
La Cnil qui découvre des infractions commises par le service Google Analytics
Après que l’autorité autrichienne de protection des données ait déclaré le service Google Analytics d’illégal, car enfreignant quelques règles de l’article Article 44 EU RGPD qui a pour objet d’énoncer le principe général régissant les transferts vers les pays ou organisations internationales tiers à l’UE, la Cnil n’a pas perdu de temps pour mener ses propres enquêtes avant d’en arriver au même constat, et d’en faire les publications nécessaires.
Et effectivement, il se trouve que Google Analytics est illégal et non sécurisé et que, par conséquent, les entreprises numériques qui utilisent cet outil doivent cesser de l’utiliser et opter pour une alternative, selon en tous cas une déclaration faite par la Commission nationale de l’informatique et des libertés (CNIL). De ce fait, l’organisme français donne un mois aux entreprises françaises pour trouver une autre solution d’analyse d’audience de site Web en règle pour remplacer Google Analytics.
La Cnil a ajouté dans sa déclaration que non seulement le transfert de données effectué par Google Analytics n’est pas seulement non sécurisé, mais aussi plusieurs indices d’une éventuelle surveillance par les États-Unis des citoyens européens auraient également été retrouvées, et c’est encore une autre source d’inquiétude, mais qu’il sera plus difficile de prouver.
Qu’est ce que le RGPD ?
Le règlement général de la protection des données (RGPD) est un règlement européen valable dans toute l’Union européenne (publié le 4/05/2016, obligatoire et applicable depuis le 25/05/2018) et portant sur la manière dont les entreprises et autres organisations doivent se comporter vis-à -vis des données personnelles.
C’est probablement, l’initiative la plus importante pour la protection des données depuis le début du siècle en cours. Il a d’importantes répercussions pour toute organisation qui propose ses services aux citoyens de l’Union européenne, et/ou sur les transferts des données personnelles hors U.E.
Soucieux de permettre aux citoyens de contrôler la manière dont leurs données sont utilisées et de protéger « les droits et libertés des personnes physiques », ce règlement établit des exigences strictes en matière de procédures de traitement des données, de transparence, de documentation et de consentement utilisateur.
Il impose un certain nombre d’obligations, et toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi.
Une décision susceptible de se répercuter dans toute l’Union Européenne
Max Schrems, fondateur de l’organisation « L’Europe contre Facebook », et défenseur autrichien de la vie privée Maximilian à l’origine de l’enquête de la Cnil, a déjà expliqué qu’ils s’attendent à des décisions similaires dans tous les Etats membres, puisqu’ils ont porté plainte auprès de toutes les autorités correspondantes et attendent une réponse.
En d’autres termes, la position de l’Autriche n’était qu’un début et cette décision de la Cnil confirme cela ! Par ailleurs, la Cnil a également affirmé qu’elle avait pris cette mesure en coopération avec ses homologues européens chargés de la protection des données.
On peut donc s’attendre à ce que l’interdiction de l’utilisation de Google Analytics soit prise sur tout le territoire européen d’ici peu, nous écrivons cela, car Google ne semble pas prêt à céder.
Google Analytics va-t-il disparaître en Europe ?
Comme il a été évoqué plus haut, les entreprises françaises n’ont plus qu’un mois pour trouver d’autres solutions alternatives à Google Analytics et aussi que l’interdiction pourrait se généraliser sur tout le territoire européen. Mais cela signifie-t-il que le service d’analyse de site web va-t-il disparaître du Vieux continent ?
Peut-être pas ! De la même manière que des outils tels que Mailchimp ou Google Workplace, qui ont par le passé déjà fait l’objet d’une interpellation par l’UE, sont toujours utilisés légalement au sein de l’Union européenne, Google cherchera très probablement aussi un moyen pour que son outil d’analyse soit conforme au règlement sur la protection des données.
De son côté, la CNIL ne souhaite clairement pas l’arrêt définitif Google Analytics en France. Elle a déjà déclaré laisser à ce dernier une porte ouverte à une utilisation continue. Seulement, des changements radicaux doivent être apportés sur la manière dont les données sont gérées et transférées, à l’extérieur de l’UE.
La réponse de Google
Pour le moment, Google n’a pas répondu à la CNIL, du moins publiquement. Cependant, après s’être placé sous le contrôle de l’Autriche, il a publié une déclaration dans laquelle il affirmait disposer de « mesures étendues » garantissant la « protection pratique et efficace des données à tout niveau raisonnable » et défendait la nécessité d’un nouveau cadre de transfert de données entre l’UE et les États-Unis.
« Les enjeux sont trop importants et le commerce international entre l’Europe et les États-Unis est trop important pour les moyens de subsistance de millions de personnes, pour ne pas trouver une solution rapide à ce problème imminent », a averti Google. Le géant du Web californien demande donc aux gouvernements européens de penser d’abord aux utilisateurs avant de prendre une décision.
« Alors que les gouvernements concluent un accord, nous restons déterminés à respecter les normes de protection des données les plus élevées pour tous nos produits et nous nous concentrons sur la satisfaction des besoins de nos clients en attendant un accord révisé. Mais nous appelons à une action rapide pour rétablir un cadre pratique qui protège la vie privée et favorise la prospérité », a-til continué.
Facebook Connect, également dans le viseur de la Cnil aux dernières nouvelles
TechCrunch, un site d’informations américain spécialisé dans l’actualité des startups Internet, voulant interroger la CNIL pour avoir plus d’informations au sujet de l’interdiction de Google Analytics a aussi reçu l’information de celle-ci que l’utilisation de Facebook Connect par les gestionnaires de sites français ferait également en ce moment l’objet de plaintes auprès de la CNIL. Les plaintes seraient même déjà en cours d’instruction. À suivre donc !
Le site TechCrunch a aussi contacté Google pour tenter d’avoir des commentaires de leur part par rapport à la décision de la CNIL, mais pour le moment, il n’a encore reçu aucune réponse. Pour rappel, le site TechCrunch est un site d’informations américain spécialisé dans l’actualité des startups Internet. Fondé en 2005 par Michael Arrington, son premier article fut mis en ligne le 11 juin 2005, et il fait référence par le sérieux de ses écrits.
Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies
Pour en savoir plus :
- mieux protéger les applis web contre les menaces identifiées.
- CTT-Schrems II, et l’actualisation des clauses contractuelles
- retour sur les règles de la CNIL en matière de gestion des cookies
- Google abandonne FLoC et introduit « Topics », sans cookies tiers
- « Topics » : la nouvelle méthode de ciblage publicitaire de Google pour remplacer les Cookies tiers
