NUMERIQUE

La CNIL remet en cause l’utilisation de Google Analytics

    Début juin, la CNIL a publié une FAQ sur les mises en demeure qu'elle a prononcées en février 2022 concernant l'utilisation de Google Analytics comme outil de mesure d’audience sur les sites web, en raison d’un transfert de données vers les Etats-Unis non-conforme au RGPD.

    Elle rappelle notamment que les mesures mises en place par Google, y compris la signature de clauses contractuelles types par les clients, ne sont pas suffisantes pour exclure la possibilité d'un accès aux données personnelles de citoyens européens par les autorités américaines. La CNIL précise qu'il est impossible de paramétrer l'outil Google Analytics de façon à ne pas transférer les données personnelles hors UE ou de façon à anonymiser suffisamment les données transférées. 

    Les organismes mis en demeure par la CNIL disposent d'un délai d'un mois pour se mettre en conformité (ce délai pouvant être renouvelé à la demande des organismes concernés), soit en changeant d'outil, soit en mettant en place des mesures supplémentaires.
    Concernant les autres organismes utilisant Google Analytics, ils doivent considérer cette utilisation comme illégale au regard du RGPD, sans qu'aucun délai de mise en conformité ne soit indiqué à ce stade. 

    La CNIL rappelle qu'elle a publié une liste de solutions alternatives à Google Analytics pour la mesure d'audience, cette liste n'ayant pas été analysée par la CNIL au regard de l'arrêt Schrems II. 

    Ainsi, dans tous les cas, chaque responsable de traitement doit suivre les recommandations de l'EDPB (groupe des CNIL européennes) en menant une analyse de risques pour mettre en place des mesures supplémentaires suffisantes et en évaluant le cadre juridique du pays tiers vers lequel les données seraient éventuellement transférées.

    Les mesures supplémentaires pouvant être mises en place selon la CNIL sont par
    exemple : 

    • le chiffrement des données sous certaines conditions (le chiffrement mis en place par Google étant insuffisant pour la CNIL en raison de la possibilité pour Google d'accéder aux données) ;
    • le consentement explicite des personnes concernées (à condition que le transfert ne soit pas systématique, ce qui n'est pas applicable aux cookies ou autres traceurs de mesures d'audience) ; 
    • la mise en place d'un serveur mandataire "proxy" pour éviter tout contact direct entre le terminal de l'internaute et les serveurs de l'outil de mesure.

    Le MEDEF continue ses actions afin d'obtenir rapidement le nouvel accord transatlantique sur les flux de données pour remplacer le Privacy Shield invalidé par l'arrêt Schrems II en juillet 2020, ce qui pourrait mettre fin à cette problématique pour l’utilisation de Google Analytics.