L’information a fait couler beaucoup d’encre : la CNIL met en demeure un gestionnaire de site web pour se utilisation de Google Analytics. La mise en demeure de la Cnil est en réalité la conséquence de l’une des 101 plaintes déposées en 2020 par l’autrichien Max Schrems, fondateur de l’association de protection de la vie privée NOYB (None Of Your Business).
Ce qu’il faut comprendre du communiqué de la CNIL
Premièrement, la CNIL ne s’attaque pas directement à Google, mais elle met en demeure un gestionnaire de site (dont l’identité n’est pas communiqué) pour son utilisation de Google Analytics jugée contraire au RGPD.
Deuxièmement, le point spécifiquement visé du RGPD est le transfert vers les États-Unis d’un identifiant qui constitue une donnée personnelle.
Le transfert de données personnelles hors Union Européenne n’est absolument pas interdit par le RGPD. En revanche il est important que le niveau de protection du pays en cause soit identique à la protection offerte par le RGPD (détaillé dans les articles 44 et suivants du RGPD).
Dans son communiqué, la CNIL reproche à ce gestionnaire de site le transfert de données aux États-Unis basé sur un mécanisme appelé le Privacy Shield, ce dernier ayant été invalidé par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet 2020. Une entreprise qui utiliserait le Privacy Shield en 2022 comme base légale n’est donc effectivement pas conforme au RGPD.
Il faut néanmoins savoir que le RGPD a prévu d’autres mécanismes juridiques pour transférer des données hors de l’Union Européenne, dont le plus utilisé est le recourt à des Clauses Contractuelles Types. Et la CNIL précise elle-même sur son site que ce mécanisme est valide pour des transferts vers les États-Unis :
« La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). »
Le sujet est complexe, mais pour résumer non, toute utilisation de Google Analytics ne vient pas de devenir illégal en France.
Quelles mesures pouvez-vous prendre ?
Si pour une fois la CNIL mentionne explicitement Google Analytics, elle reste floue sur d’autres éléments. Espérons que la CNIL rédige prochainement des lignes directrices claires et précises concernant Google Analytics. Pour les webmasters, il est dores et déjà possible de faire quelques vérifications :
Vérifier l’acceptation des clauses contractuelles types directement dans Google Analytics
Google a bien intégré les clauses contractuelles types édictées par la Commission européenne dans le contrat de Google Analytics.
Une documentation officielle vous explique comment Accepter l’Avenant relatif au traitement des données
Si vous voyez le bloc suivants dans votre compte, vous avez correctement accepté les Clauses Contractuelles Types de Google Analytics.
Vérifier que vous n’envoyez pas de données personnelles directement à Google Analytics
Nous en profitons pour rappeler que Google Analytics « interdit l’envoi de données que nous pourrions utiliser comme des informations personnelles ou considérer comme telles. » Cela inclut notamment, sans s’y limiter, des données telles que les noms et prénoms, les adresses e-mail, ainsi que les numéros de téléphone mobile.
Bénéficier d’un pré-audit gratuit
Prévoir une solution de repli pour votre mesure d’audience
La bataille de l’Union Européenne contre les GAFA ne va probablement pas s’arrêter là. Pour les plus prudents d’entre vous, il est également possible de mettre en place une solution de mesure d’audience alternative. Il existe des éditeurs proposant l’hébergement et le traitement des données sécurisé dans l’UE, tels que Piwik Pro ou AT Internet.
Contactez-nous pour en savoir plus !
Vous souhaitez lancer une opération spéciale, recruter des leads ou simplement encourager vos internautes à faire un don ? La Read more
L’association Yahoo / Bing génère plus de 33% des parts de trafic outre-Atlantique en Mars 2015. Une étude menée par ComScore Read more
Le retargeting est un outil de marketing digital puissant quand les campagnes sont gérées correctement. Pour vous aider à renforcer Read more
