Cette mise en demeure, fait suite à des décisions identiques de l’autorité de contrôle autrichienne et du CEPD, et elle vient perturber toutes les mesures d’audience de sites internet en France ayant recours à Google Analytics, et appelle chacun à s’interroger sur sa conformité.
Le 10 février dernier, la CNIL, a mis en demeure un gestionnaire de site internet de mettre en conformité ses traitements avec le RGPD, « si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. »
En effet, la CNIL, saisie de plusieurs plaintes, a analysé les conditions dans lesquelles les données collectées grâce l’outil Google Analytics sont transférées vers les États-Unis. La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés et Google ne peut « exclure la possibilité d’accès des services de renseignements américains à ces données ».
En l’absence de décision d’adéquation (qui établirait que les Etats-Unis offrent un niveau de protection des données suffisant au regard du RGPD), le transfert de données ne peut avoir lieu que si des garanties appropriées sont envisagées. »
Or, la CNIL constate que tel n’est pas le cas, et qu’en l’état actuel, les transferts de données vers les Etats-Unis par la solution Google Analytics constituent une violation des articles 44 et suivants du RGPD [NDLR relatifs à la conformité des transferts de données à caractère personnel vers des pays tiers à l’UE].
Ces mises en demeure font suite à l’arrêt Schrems II du 16 juillet 2020 au titre duquel la CJUE avait estimé que la législation actuellement en vigueur aux Etats-Unis ne permettait pas d’assurer un niveau de protection adéquat pour les personnes concernées européennes dont les données transiteraient par les Etats-Unis, invalidant ainsi le Privacy Shield, qui assurait précisément une conformité de principe avec les articles 44 et suivants du RGPD.
La problématique réside dans le fait les Etats-Unis ne garantissent pas aux citoyens européens des niveaux équivalents sur la protection de leurs données. Par ailleurs, d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.
En attendant la mise en place d’un éventuel nouveau cadre légal, certaines alternatives peuvent être envisagées afin de conserver des services de mesure et d’analyse d’audience des sites web par les responsables de traitement, tout en respectant le RGPD.
Tout d’abord, si aucune mesure d’audience n’est utilisée sur votre site internet, il convient dès lors de désactiver les cookies Google Analytics.
En second lieu, si une mesure d’audience de votre site internet est nécessaire, l’alternative la plus simple serait naturellement de recourir à des solutions de mesure et d’analyse d’audience européennes, ne nécessitant ainsi pas de transfert vers les Etats-Unis.
On rappellera utilement qu’afin de parer aux problématiques relatives au recueil du consentement pour les cookies de mesure d’audience, la CNIL a publié le 23 septembre 2021 une série d’outils de mesure d’audience identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement (lien).
Google indique de son côté vouloir annoncer prochainement de nouvelles mesures de conformité.
D’autres outils, transférant de la donnée aux Etats-Unis, utilisés quotidiennement pourraient de la même façon et dans un avenir proche être sujets à des mesures similaires de la CNIL ou des différentes autorités de contrôle européennes.
Dès lors, et au-delà de cette mise en demeure prononcée par la CNIL, tous les acteurs s’accordent à dire que cette décision invite plus que jamais les instances européennes et américaines à trouver un accord relatif aux échanges de données transatlantiques entre l’Europe et les Etats-Unis.
Toute l’équipe de Grant Thornton est mobilisée et à votre disposition pour vous assister dans la gestion de cette problématique.
