Google Analytics a recours a des tranferts de données « illégaux », dénonce la Cnil. Elle donne un mois aux sites qui utilisent le service américain pour changer d’outil.
Aucune sanction n'a été annoncée pour ceux qui continueraient à utiliser ce service. © Fernando Arcos
La Commission nationale de l'informatique et des libertés (Cnil) française s’attaque au mastodonte américain Google. C’est plus particulièrement sa branche « Analytics », service gratuit d’analyse d’audience pour des sites web, qui est visée. Un service très pratique pour les gestionnaires de ces sites, mais « illégal », juge la Cnil : les données transférées par l’entreprise vers ses serveurs américains ne sont pas suffisamment protégées. « En effet, si Google a adopté des mesures (…) celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données », écrit le régulateur.
Ce mercredi, des gestionnaires de sites web ont reçu une mise en demeure. La Cnil les contraint à abandonner le service, sous peine de sanctions – sans préciser encore lesquelles. Ils ont un mois pour se mettre en règle. La décision de l’autorité française arrive quelques jours seulement après celle de son homologue autrichien, la DSB. Le début d’une vague européenne contre Google ?
#RGPD Saisie par @NOYBeu, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les #données collectées par Google Analytics sont transférées vers les États-Unis et estime que ces transferts sont illégaux https://t.co/4YWv9snEpY pic.twitter.com/zU9awj4KLF
— CNIL (@CNIL) February 10, 2022
Le règlement général sur la protection des données (RGPD) exige depuis 2018, pour tout transfert de données hors de l’Europe, un niveau de protection au moins équivalent à celui de l’UE. Les États-Unis ne rencontrent pas ces exigences. Les accords successifs (Safe Harbor, Privacy Shield …) ont tous été invalidés par la Cour de justice de l’Union européenne (UE): même là, les données n’étaient pas suffisamment protégées.
L’ONG pour la protection des données personnelles Noyb, basée à Vienne, se félicite de cette décision. Et pour cause : lorsque la Cour de justice de l’UE invalide à l'été 2020 le dernier accord entre l’UE et les États-Unis, l’organisation dépose une centaine de plaintes auprès des régulateurs des pays membres contre Google Analytics et Facebook Connect. Ils sont accusés de ne pas protéger les données personnelles de leurs citoyens. La décision des autorités française et autrichienne sont les conséquences directes de ces requêtes. « Suite aux plaintes de Noyb, la CNIL déclare officiellement que les transferts de données entre l'UE et les États-Unis via Google Analytics sont illégaux et ordonne à un opérateur français de se mettre en conformité », tweete Noyb.
Following complaints by noyb, the CNIL officially states that EU-US data transfers via Google Analytics are illegal and orders a French operator to comply: https://t.co/sWupdqeIgh pic.twitter.com/jdlRkCoBGZ
— noyb (@NOYBeu) February 10, 2022
Plausible Analytics, alternative open source à Google Analytics, se félicite de cette décision : « Google Analytics est-il illégal ? Oui, a dit l'autorité autrichienne de protection des données et aujourd'hui l'autorité française de protection des données est d'accord ! C'est une époque passionnante pour un projet européen d'analyse Web axé sur la protection de la vie privée. »
Is Google Analytics illegal?
Yes, said the Austrian Data Protection Authority and today the French DPA agreed!
Exciting times to be a European, privacy-focused web analytics project
— Plausible Analytics (@PlausibleHQ) February 10, 2022
Dans la foulée de la décision autrichienne, le géant américain s'est défendu de toute responsabilité : « Google Analytics aide les commerçants, les gouvernements, les ONG et de nombreuses autres organisations à comprendre à quel point leurs sites et applications fonctionnent pour leurs visiteurs - mais sans identifier des individus ou en les suivant sur le Web. Ce sont ces organisations, et non Google, qui contrôlent les données collectées avec les outils analytics et la manière dont elles sont utilisées », rapporte Le Monde Informatique.
« Les dominos commencent à tomber », analyse Laura Kayali, journaliste tech pour Politico. Sans nouvel accord, surveiller l’intégralité des transferts de données est une tâche titanesque. Faute de cadre légal pour les transferts transatlantiques, cette sanction ne sera sûrement pas la dernière.
The dominos are starting to fall, as the French privacy regulator rules against use of Google Analytics — a few weeks after the Austria authority reached similar conclusions. #EUdataP https://t.co/dfi8IVm5p9
— Laura Kayali (@LauKaya) February 10, 2022
Emma Bougerol
Édité par Élia Ducoulombier
Tous droits de reproduction réservés © 2001-2011
Centre universitaire d'enseignement du journalisme - Strasbourg (France)