Home / Actualités / Google Analytics dans le viseur de la CNIL

Google Analytics dans le viseur de la CNIL

la CNIL considère que Google Analytics n’est pas conforme RGPD

28/04/2022

Dans une décision relayée le 10 février 2022 et publiée le 16 février 2022, la CNIL, saisie par l'ONG de défense de la vie privée NOYB ("None of Your Business"), considère que Google Analytics n’est pas conforme au règlement général sur la protection des données (RGPD)[1] en raison des conditions dans lesquelles les données collectées sont transférées vers les États-Unis et du danger que cela représente pour les internautes français (notamment un risque d’ingérence des services de renseignement américains).

Dans cette décision, la CNIL met en demeure un gestionnaire de site français de se mettre en conformité avec le RGPD dans un délai d’un mois, soit en suspendant son utilisation de la fonctionnalité Google Analytics (dans les conditions actuelles), soit en recourant à un outil n’entraînant pas de transfert hors de l’Union européenne. 

Une décision dans la lignée de Schrems II

La décision du 10 février 2022 s’inscrit, d’une part, dans la volonté de la CNIL de relocaliser la maîtrise des données des Européens en Europe. Cette volonté n’est pas nouvelle et trouve un exemple récent dans le livre blanc sur les données de paiement d’octobre 2021, dans lequel la CNIL appelle de ses vœux la localisation des données de paiement en Europe pour contribuer à la lutte sur la souveraineté numérique européenne.

D’autre part, cette décision s’inscrit dans le sillage de l’arrêt Schrems II dans lequel la CJUE avait conclu à l’invalidation du Privacy Shield. La CNIL ne fait donc que tirer les conséquences des décisions luxembourgeoises.

Quelles solutions pratiques ?

La CNIL incite les entreprises françaises à se tourner vers des solutions européennes. Ces dernières existent et semblent représenter des alternatives viables à Google Analytics.

Il pourrait également être envisagé de recourir à l’article 49.1 du RGPD, qui pose une exception à l'interdiction des transferts vers des pays non sûrs dès lors que l’utilisateur a donné son consentement explicite et a été informé "des risques que ce transfert pouvait comporter".

Toutefois, il est peu probable que cette parade résiste à l’examen de la CNIL, l’article 49 ayant vocation à s’appliquer à des "dérogations pour des situations particulières" et à des transferts "occasionnels et non répétitifs".

Alternativement, certains prétendent qu’il serait possible de re-configurer Google Analytics afin de pouvoir continuer à l’utiliser, par exemple en anonymisant les adresses IP avant stockage, en réduisant la durée de vie des cookies ou le volume de données collecté par ces cookies. Toutefois, l’efficacité de telles solutions – ainsi que leur réelle faisabilité technique – restent à éprouver.

Un raisonnement applicable à de nombreux autres services

Poussé à l’extrême, le raisonnement de la CNIL pourrait s’appliquer à tous les services américains traitant les données personnelles d’européens, même dans l’hypothèse où les données seraient stockées en Europe et non transférées vers les Etats-Unis – le risque pour les opérateurs de cloud étant d’autant plus élevé que le cloud figure parmi les thématiques prioritaires de contrôle la CNIL pour l’année à venir[2].

Cela conduirait à conclure à l’impossibilité de recourir aux services d’une société américaine… à moins que les lois américaines n’évoluent sur ce point, comme le propose NOYB (option qui, à notre connaissance, n’est pas discutée à ce jour), ou que Google accepte de modifier les conditions de son service (en tronquant les adresses IP par exemple, empêchant ainsi l’identification de son titulaire, tout en permettant la mesure d’audience).

Une solution à cette problématique de transfert pourrait également passer par la voie politique, comme la signature de l’accord de principe UE-USA le 25 mars dernier permet de l’espérer[3].

Article paru dans Option Finance le 28/04/2022


[1]              Règlement 2016/679 du 27 avril 2016.

[2]              https://www.cnil.fr/fr/thematiques-prioritaires-de-controle-2022-prospection-commerciale-cloud-et-surveillance-du.

[3]              https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100.


 Technologie, Media et Communication dans notre cabinet d’avocats :

Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise tmc 330x220

Expertise : Technologie, Media et Communication

nous contacter 330x220

Nous contacter

Vos contacts

Portrait deAnne-Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Portrait deMûre Maestrati
Mûre Maestrati
Avocate
Paris