👀
La France déclare Google Analytics non conforme au RGPD

Digital

15 Fév 2022

La France déclare Google Analytics non conforme au RGPD

L’Agence française de protection des données, la CNIL (Commission nationale de l’informatique et des libertés), a conclu que l’utilisation de Google Analytics est illégale au regard du RGPD. La CNIL a commencé à adresser des mises en demeure aux gestionnaires de sites utilisant Google Analytics.

Cela fait suite à la décision de janvier 2022 de l’autorité autrichienne de protection des données de déclarer l’utilisation de Google Analytics illégale en vertu du RGPD .

Depuis l’invalidation du cadre Privacy Shield , un accord entre l’UE et les États-Unis qui permettait le transfert de données à des entreprises américaines certifiées, la CNIL et d’autres autorités de protection des données de l’UE ont reçu de nombreuses plaintes concernant les transferts de données collectées lors de visites de sites Web utilisant Google Analytics.

Dans ce cas type, la CNIL a constaté que l’utilisation de Google Analytics par un site Web anonyme n’est pas conforme au RGPD car il a enfreint l’article 44 qui interdit le transfert de données personnelles en dehors de l’UE, sauf si le pays destinataire peut prouver une protection adéquate des données. 

Dans le cadre du GDPR, les données personnelles couvrent une gamme d’identifiants, y compris l’adresse e-mail, la race, le sexe, le numéro de téléphone pour n’en nommer que quelques-uns, mais les identifiants les moins évidents incluent les adresses IP ou les identifiants de cookies, par exemple. 

La décision de la CNIL était fondée sur le fait que les États-Unis ne respectent pas les niveaux suffisants de protection des données du RGPD en raison des lois américaines sur la surveillance. Par conséquent, l’utilisation de Google Analytics par le site Web anonyme a créé des risques pour les visiteurs de son site Web lorsque leurs données personnelles ont été exportées aux États-Unis. 

Au moment d’écrire ces lignes, on ne sait pas si la CNIL a prononcé une amende pour la violation du RGPD. Toutefois, le responsable du site Internet sans nom a été sommé par la CNIL de se conformer au RGPD et, le cas échéant, de cesser d’utiliser Google Analytics dans les conditions actuelles.