Coup de tonnerre dans l’univers de la mesure d’audience sur Internet et la communauté Google Analytics. La Cnil met en demeure un site de revoir son usage du service de Google en raison de transferts de données illégaux.
C’est un coup de froid qui s’abat sur les gestionnaires de sites Web et de campagnes publicitaires en ligne. Pour le suivi de l’audience et du trafic, ceux-ci ont massivement recours à un service Web fourni par Google : Google Analytics.
A lire aussi : Données personnelles : la Cnil exige de l’équité sur les cookies et menace
Problème : l’utilisation de ce service pourrait enfreindre l’arrêt Schrems II et le RGPD. C’est en tout cas le message envoyé par la Cnil suite à une mise en demeure. Le gendarme français des données personnelles donne un mois à un gestionnaire de site pour se mettre en conformité avec le règlement vis-à-vis de son usage de Google Analytics.
Des garanties insuffisantes sur la protection des données
L’identité de cet acteur n’est pas communiquée. Mais l’essentiel n’est pas là. Beaucoup se reconnaîtront dans le profil et l’usage fait du service du GAFAM. La Cnil constate en effet que la fonctionnalité de Google transfère des données aux États-Unis.
Cela n’a pas échappé non plus à l’association NOYB de Max Schrems, déjà à l’origine de l’invalidation du Privacy Shield. NYOD a déposé de multiples actions dans toute l’Europe, obligeant les Cnils à se concerter et à prendre une décision commune.
101 responsables de traitement sont pointés du doigt pour des transferts de données personnelles vers les États-Unis. Et ces transferts s’effectuent donc dans le cadre de l’utilisation de Google Analytics. Problème : depuis l’arrêt de la CUJE, ces transferts sont problématiques.
Sur la base de la décision de la Cour de Justice de l’UE, la Cnil considère “que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle.” Faute de “garanties appropriées”, ces transferts via Google sont donc illégaux.
Des outils bridés à des statistiques anonymes
Un premier site est donc incriminé pour son usage de Google Analytics, qui constitue une “violation des articles 44 et suivants du RGPD.” Le gestionnaire a un mois pour prendre des mesures. Celles-ci peuvent aller jusqu’à cesser de recourir au service de Google.
La Cnil assortit sa mise en demeure d’une recommandation. Elle estime que les services de mesure et d’analyse d’audience ne devraient produire que des données statistiques anonymes.
Ce coup de pied dans la fourmilière orchestré par NOYB devrait une fois encore avoir d’importantes répercussions dans l’écosystème du Web. De fait, la Cnil ajoute que d’autres procédures de mise en demeure sont engagées. Elles ciblent des utilisateurs de Google Analytics.
L’autorité et ses homologues européens poursuivent leur enquête. Cette dernière ne vise pas spécifiquement Google. D’autres outils utilisés par des sites et débouchant sur des transferts de données d’Européens vers les US sont dans le collimateur. Les autorités de protection pourraient par conséquent proposer des “mesures correctrices” prochainement.