La Commission Nationale de l'Informatique et des Libertés (CNIL) a fait une annonce fracassante la semaine dernière : l'utilisation de Google Analytics est en contradiction avec la réglementation RGPD.
Dans son communiqué de presse, la CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment réglementés. Ils se réfèrent à l'effort coordonné des pays de l'UE pour tirer collectivement les conséquences de l'arrêt « Schrems II (en anglais) » rendu par la Cour de justice de la Communauté européenne.
Cela intervient quelques semaines après une déclaration similaire du DSB (l'organisme de surveillance autrichien).
C'est le deuxième pays de l'UE à reconnaître ouvertement la violation de l'article 44 du RGPD (en anglais) par Google. Nous pensons que d'autres seront susceptibles de faire de même.
CNIL : Google Analytics est en conflit avec le règlement RGPD
S'il a fallu un certain temps pour que les régulateurs agissent (l'enquête remonte à août 2020), la dynamique semble désormais lancée. Après que le DSB a publié sa déclaration le mois dernier, la CNIL a annoncé la nouvelle la semaine dernière.
Dans notre précédent article (en anglais), dans lequel nous avons traité de la décision du DSB d'invalider l'utilisation de Google Analytics, nous analysons la raison fondamentale de ces réactions.
En bref, les lois européennes sur le RGPD exigent la protection des données pour ses citoyens. Les États-Unis n'adhèrent cependant pas à ces directives. Ils ne fournissent aux citoyens non américains aucun moyen de savoir comment leurs données sont traitées ou (mal) utilisées. En réaction à cela, la CNIL répond que les transferts de données ne peuvent avoir lieu que si des garanties appropriées sont fournies, ce qui n'est pas le cas actuellement.
Quel sera l'avenir ?
Le deuxième domino est tombé. La France est devenue le deuxième pays de l'UE a invalider ouvertement l'utilisation de Google Analytics. Dans sa déclaration, la CNIL a parlé d'un effort coordonné de plusieurs pays de l'UE. Dans les mois à venir, nous nous attendons à ce que d'autres pays de l'UE suivent cet exemple.
Bien que Google ait adopté des mesures pour mieux réglementer les transferts de données, cela n'a pas été suffisant puisqu'elles n'excluent toujours pas l'accessibilité de ces données pour les services de renseignement américains.
À ce jour, on ignore si la CNIL a infligé une amende à l'opérateur du site web en question. Bien qu'un ultimatum ait été posé. L'exploitant du site web dispose d'un mois pour se conformer aux lois sur la protection des données ou trouver un autre fournisseur de services d'analyse web. En attendant, la CNIL travaille sur une liste de recommandations pour remplacer Google Analytics par des alternatives conformes, comme Simple Analytics.
Simple Analytics
La préparation de votre entreprise à l'avenir est essentielle pour toutes les entreprises de la planète. L'adoption d'une solution de protection de la vie privée pour vos analyses web est l'une des mesures que vous devez prendre pour assurer l'avenir de votre entreprise (surtout si vous êtes une entreprise européenne). Donnez-nous une chance de préparer votre entreprise pour l'avenir..