Le 10 février 2022, la CNIL a mis en demeure le gestionnaire d’un site internet utilisant les cookies Google Analytics de se conformer au RGPD et plus partculièrement à l’arrêt de la CJUE Schrems 2 relatif au transfert des données vers les Etats-Unis.
La CNIL considère que tant que les autorités américaines peuvent accéder aux données des utilisateurs, l’utilisation de Google Analytics n’est pas légale et a donc demandé au gestionnaire du site internet de se conformer au RGPD et si nécessaire, de ne plus utiliser les cookies Google Analytics.
Ainsi, la CNIL rejoint l’autorité Autrichienne et le SEPD qui se sont également positionnés en ce sens il y a quelques semaines. Cette mise en demeure reflète également une position commune des autorités européennes dans la mesure où cette mise en demeure fait suite à plus d’une centaine de plaintes déposées par l’association NYOB dans les 27 Etats membres à l’encontre de divers responsables de traitement.
Si Google ne procède pas à des changements, les sites internets n’auront plus d’autres choix que de recourir à d’autres fournisseurs de services équivalents.
Contexte
Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes.
Un identifiant unique attribué à chaque visiteur et les données qui lui sont associées sont transférés par Google aux États-Unis.
Pour cette raison, la CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE).
La CNIL a, en coopération avec ses homologues européens, analysé la légalité des transferts vers les États-Unis et estime que ces transferts sont illégaux.
Ainsi, elle demande à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.
Il s’agissait notamment de tirer collectivement les conséquences de l‘arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait exigé que des mesures supplémentaires soient mises en place pour empêcher que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis.
L’ analyse de la CNIL
La CNIL conclut que , le transfert de données vers les Etats-Unis ne peut avoir lieu que si des garanties supplémentaires et appropriées sont prévues pour ce flux.
Or, la CNIL a constaté que les mesures supplémentaires mises en oeuvre par Google dans le cadre de la fonctionnalité Google Analytics ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Elle a donc mis en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE.
Recommandations de la CNIL
La CNIL recommande que les cookies de mesures d’audience ne servent uniquement qu’à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux.
La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud BLANC, Avocat.
Cette publication est également disponible en en_GB.