Parce qu’il transfère des données personnelles d’Europe vers les Etats-Unis, en violation du RGPD depuis l’invalidation du Privacy Shield, l’outil Google Analytics vient d’être frappé d’opprobre par le gendarme français des données personnelles.
C’est une décision qui panique les marketeux et les experts en SEO : la Cnil vient de frapper de proscription Google Analytics. Dans la foulée de l’annulation du Privacy Shield par la Cour de Justice de l’Union Européenne, l’association NOYB de l’activiste Max Schrems avait saisi plusieurs régulateurs à travers l’Europe. Elle reprochait à divers services en ligne, notamment ceux de Google, de ne pas respecter la loi quant aux transferts de données entre l’UE et les Etats-Unis.
C’est donc sur Google Analytics que le gendarme français des données personnelles vient de tirer à boulets rouges. Google Analytics, le fameux outil de mesures statistiques de la fréquentation d’un site, qui contient tant d’informations pertinentes pour affiner des stratégies d’acquisition de trafic… Eh bien celui-ci attribue à chaque internaute un identifiant unique, identifiant considéré par la Cnil comme une donnée personnelle… et qui est donc transféré vers les Etats-Unis.
Pas de garanties suffisantes
La Cnil explique que NOYB a déposé 101 réclamations devant les différents régulateurs européens à l’encontre de responsables de traitement qui transfèreraient des données personnelles vers les États-Unis. Avec ses homologues, notre gendarme des données personnelles a donc mis le fonctionnement de Google Analytics en perspective de l’arrêt de 2020 de la CJUE. Faute de décision d’adéquation entre l’UE et les Etats-Unis, les transferts de données transatlantiques ne peuvent avoir lieu « que si des garanties appropriées sont prévues pour ce flux notamment ».
« Or, la CNIL a constaté que ce n’était pas le cas ». La sentence du régulateur est sans appel : les mesures supplémentaires prises par Google « ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données ». Existe donc un risque et une violation du RGPD.
En conséquence, la Cnil somme un gestionnaire de sites à se mettre en conformité « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics », sous un mois. D’autres éditeurs utilisant Google Analytics sont également dans le viseur du régulateur. Et les gendarmes européens des données personnelles enquêtent sur « d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis ». Le couperet n’a pas fini de tomber.