Google Analytics : La CNIL met en demeure un gestionnaire de site internet

Google Analytics : La CNIL met en demeure un gestionnaire de site internet

Le 10 février 2022, la CNIL a mis en demeure le gestionnaire d’un site internet utilisant les cookies Google Analytics de se conformer au RGPD et plus partculièrement à l’arrêt de la CJUE Schrems 2 relatif au transfert des données vers les Etats-Unis. 

La CNIL considère que tant que les autorités américaines peuvent accéder aux données des utilisateurs, l’utilisation de Google Analytics n’est pas légale et a donc demandé au gestionnaire du site internet de se conformer au RGPD et si nécessaire, de ne plus utiliser les cookies Google Analytics.

RGPD : Transfert international de données

RGPD : Transfert international de données

En vertu du règlement général sur la protection des données (RGPD), le transfert de données à caractère personnel en dehors de l’EEE (c’est-à-dire l’UE et la Norvège, le Lichtenstein et l’Islande) ou à des organisations internationales n’est autorisé que si l’une des conditions suivantes est remplie :

– le pays tiers est reconnu comme offrant un niveau de protection adéquat via une décision d’adéquation adoptée par la Commission européenne ;

– des garanties appropriées sont mises en œuvre (par exemple, clauses contractuelles types de l’UE, BCR, certification ou code de conduite approuvé) ;

– une  des dérogations prévues à l’article 49 est applicable (par exemple, consentement exprès, intérêt vital, etc.).

Google Analytics – RGPD : L’autorité autrichienne et le SEPD considèrent les transferts de données vers Google LLC (US) illégaux

Google Analytics – RGPD : L’autorité autrichienne et le SEPD considèrent les transferts de données vers Google LLC (US) illégaux

Le Superviseur européen de la protection des données (« SEPD ») et l’Autorité autrichienne de protection des données ont tous deux récemment rendu une décision selon laquelle les transferts de données à caractère personnel vers Google LLC (US) induis par l’utilisation de l’outil Google Analytics sur les sites web du Parlement européen et d’une société située en Autriche (l' »opérateur du site web »), n’étaient pas conformes au RGPD.

Schrems 2 – Transferts de données : L’autorité bavaroise répond aux critiques en empêchant un utilisateur de Mailchimps de transferer de données aux Etats-Unis

Schrems 2 – Transferts de données : L’autorité bavaroise répond aux critiques en empêchant un utilisateur de Mailchimps de transferer de données aux Etats-Unis

Suite à la publication de sa réponse à une personne concernée dans un journal allemand, le « Standard », l’autorité bavaroise de protection des données (APD) a saisi cette occasion pour répondre aux critiques récurrentes et attirer l’attention des organisations sur son

Schrems 2 : le CEPD publie un FAQ en attendant des recommandations plus précises

Schrems 2 : le CEPD publie un FAQ  en attendant des recommandations plus précises

Le 23 juillet 2020, le Comité Européen à la Protection des Données (CEPD) a publié une FAQ sur les conséquences de l’arrêt de la CJUE du 16 juillet 2020 (Schrems 2).

Cet arrêt invalide le Privacy Shield, un mécanisme de transfert de données entre l’UE et les États-Unis, et conditionne la validité des clauses contractuelles types (CTT), un autre mécanisme de transfert, à l’analyse préalable du niveau de protection assuré par le pays tiers destinataire et à la mise en œuvre de mesures supplémentaires si nécessaire.

Cette FAQ donne un aperçu de la position des autorités suite à la décision de la CJUE qui remet en cause la possibilité de transférer des données à caractère personnel aux États-Unis. Toutefois, les réponses apportées par le CEPD demeurent peu précise mais il travaille actuellement sur des recommmandations plus détaillées qui devraient être publiées prochainement.