Les entreprises françaises sont averties que l’utilisation par défaut de Google Analytics est illégale en raison de problèmes de transfert de données entre l’UE et les États-Unis.
En février, la Commission nationale de l’informatique et des libertés (CNIL) a ordonné à un site Web de cesser d’utiliser Google Analytics pour des raisons de confidentialité des données. La CNIL vient de publier une mise à jour de ses directives qui jugent illégale l’utilisation par défaut de Google Analytics.
Contrairement aux États-Unis, l’UE dispose d’une législation complète en matière de protection de la vie privée, sous la forme du RGPD. Une décision de justice de l’UE de 2020 a établi que les fournisseurs américains de services sur le cloud ne répondent pas aux exigences du RGPD. On s’inquiète notamment du fait que les fournisseurs américains de services sur le cloud soient contraints de travailler avec les agences de renseignement et de leur remettre les données de leurs clients.
Par défaut, Google Analytics partage les données des clients, en les transférant de l’UE vers les États-Unis. Cela permet à Google d’avoir accès aux données, et constitue donc une violation du RGPD. La CNIL a déjà envoyé des avis à certaines organisations, mais elle avertit toutes les organisations de procéder à des changements dès que possible. Ces changements peuvent inclure la modification du fonctionnement de Google Analytics, afin qu’il n’exporte pas de données vers les États-Unis, ou l’arrêt complet de son utilisation.
À noter que la CNIL précise que la déclaration commune des États-Unis et de l’Union européenne n’est pas considérée comme un cadre « légal ».
Voici une déclaration du site de la CNIL :
La CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics, en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens.
Éviter le transfert vers les États-Unis
Les sites Web de l’UE ont deux options à faire en utilisant Google Analytics. Tout d’abord, ils peuvent procéder à quelques ajustements dans l’utilisation de cet outil. La deuxième option est de risquer une application réglementaire en raison de la violation de la législation européenne.
« Tous les responsables du traitement des données qui utilisent Google Analytics de manière analogue aux organisations [déjà notifiées] doivent désormais considérer cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire offrant des garanties de conformité suffisantes », indique la CNIL.