Transfert de données vers les Etats-Unis : la CNIL met en demeure le gestionnaire de Google Analytics.

Vianney DESSENNE
Vianney DESSENNE - Avocat

Source : Article de la CNIL

 

Au même titre que ses homologues européens, la CNIL a été saisie de plusieurs plaintes portant sur le transfert vers les États-Unis de données collectées lors de visites sur des sites web utilisant Google Analytics.

 

Rappelons que Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes.

 

La CNIL en conclut que les transferts de données à caractère personnel vers les États-Unis ne sont pas suffisamment encadrés eu égard aux manques de garanties en l’absence de décision d’adéquation suivant lequel les Etats-Unis offrirait un niveau de protection des données suffisant au regard du RGPD.

 

Or, la CNIL observe que ce n’est pas le cas en l’état : si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

 

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil que leurs données soient exportées vers les Etats-Unis en violation du RGPD.

 

Ce faisant, la CNIL a mis en demeure le gestionnaire de site de mettre en conformité ses traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics ou en ayant recours à un outil n’entraînant pas de transfert hors Union européenne.

 

La CNIL ne devrait pas tarder à publier un communiqué informant des suites qui ont été données à cette mise en demeure.

 

D’une manière générale, concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux.

 

L’enquête de la CNIL et de ses homologues européens s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis.

 

Il s’agit ici d’une énième conséquence de l’arrêt de la CJUE du 16 juillet 2020 invalidant le « Privacy Shield », bouclier de protection des données personnelles faisant l’objet de transferts entre l’Union européenne et les Etats-Unis dans le cadre duquel la Cour avait considéré que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, aux données transférées depuis l’Union vers ce pays tiers, n’étaient pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit européen, la Cour émettant l’hypothèse d’ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

Partager cet article