Les régulateurs français de la protection des données ont estimé jeudi que l’utilisation de Google Analytics constituait une violation des lois du Règlement général sur la protection des données (RGPD) de l’Union européenne dans le pays, près d’un mois après une décision similaire en Autriche.
À cette fin, la Commission nationale de l’informatique et des libertés (CNIL) a jugé que le mouvement transatlantique des données de Google Analytics vers les États-Unis n’est pas “suffisamment réglementé”, invoquant une violation des articles 44 et suivants du décret sur la protection des données, qui régissent les transferts de données personnelles vers des pays tiers ou des entités internationales.
Plus précisément, l’organe administratif indépendant de régulation a souligné l’absence de protections équivalentes de la vie privée et le risque que “les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis si les transferts ne sont pas correctement réglementés.”
“Bien que Google ait adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne sont pas suffisantes pour exclure l’accessibilité de ces données pour les services de renseignement américains”, a indiqué la CNIL. “Il existe donc un risque pour les utilisateurs de sites internet français qui utilisent ce service et dont les données sont exportées.”
Dans le cadre de l’ordonnance, la CNIL a recommandé à l’un des sites internet incriminés de se conformer au GDPR en cessant d’utiliser la fonctionnalité Google Analytics ou en utilisant un outil alternatif de suivi du trafic du site internet n’impliquant pas de transfert en dehors de l’UE, lui donnant un délai d’un mois pour se mettre en conformité.
En outre, l’organisme de surveillance a souligné que les services de mesure et d’analyse de l’audience des sites web tels que Google Analytics ne devraient être “utilisés que pour produire des données statistiques anonymes, ce qui permet une exemption de consentement si le responsable du traitement des données s’assure qu’il n’y a pas de transferts illégaux”.
Cette évolution intervient alors que Meta Platforms, propriétaire de réseaux de médias sociaux tels que Facebook, Instagram et WhatsApp, vient d’avertir que la législation dictant la manière dont les données des utilisateurs des citoyens de l’UE sont transférées aux États-Unis pourrait l’amener à retirer ses services de la région.
“Si un nouveau cadre transatlantique de transfert de données n’est pas adopté et que nous ne sommes pas en mesure de continuer à nous appuyer sur les CCS (clauses contractuelles types) ou de recourir à d’autres moyens alternatifs de transfert de données de l’Europe vers les États-Unis, nous serons probablement incapables d’offrir un certain nombre de nos produits et services les plus importants, notamment Facebook et Instagram, en Europe”, a déclaré l’entreprise dans un rapport annuel publié en début de semaine.
La décision arrive également moins de deux semaines après qu’un tribunal régional de la ville allemande de Munich a estimé que l’intégration de Google Fonts sur un site Web et le transfert de l’adresse IP à Google via la bibliothèque sans le consentement des utilisateurs contreviennent aux lois du GDPR, condamnant l’opérateur du site Web à payer 100 € de dommages et intérêts.