La CNIL pointe du doigt l’utilisation de Google Analytics par de nombreux sites Internet. Le régulateur français des données personnelles estime que l’outil, qui permet notamment de connaître le nombre de visites d’un site ou d’une application, n’est pas conforme au RGPD sachant qu’il y a un transfert de données depuis l’Europe vers les États-Unis.
Google Analytics dérange la CNIL
Saisie par l’ONG autrichienne de défense de la vie privée NOYB (None of Your Business), la CNIL a estimé que les conditions de transfert des données collectées par cet outil statistique, faute d’encadrement, pouvaient exposer les utilisateurs français à des programmes de surveillance aux États-Unis. « Si Google a adopté des mesures supplémentaires pour encadrer les transferts (…) celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignement américains à ces données », estime le régulateur.
La CNIL met donc en demeure un gestionnaire de sites Internet, sans pour autant le nommer publiquement. Cet éditeur dispose désormais d’un mois pour se conformer au règlement européen sur la protection des données (RGPD), en cessant d’utiliser Google Analytics dans les conditions actuelles. Passé ce délai, il pourra faire l’objet de sanctions.
Il faut savoir que la plupart des sites Internet utilisent Google Analytics pour connaitre le nombre de visites et avoir d’autres statistiques. Cette mise en demeure marque en tout cas un nouveau rebondissement dans la saga des transferts de données entre l’Europe et les États-Unis, après une première décision de l’autorité autrichienne visant Google mi-janvier. Le groupe américain s’était alors efforcé de minimiser cette décision et avait appelé l’Union européenne et les États-Unis à négocier au plus vite un nouveau cadre juridique.
« Il est intéressant de noter que les différentes autorités de protection des données européennes arrivent toutes à la même conclusion : l’usage de Google Analytics est illégal » a salué Max Schrems, fondateur de NOYB, dans un communiqué. Au total, l’ONG a déposé 101 plaintes en Europe contre des responsables de traitement transférant des données personnelles, récoltées par Google Analytics ou son homologue Facebook Connect.
