La Cnil met en demeure un gestionnaire de site web utilisant Google Analytics car cet outil, qui transfert des données personnelles vers les Etats-Unis, est non conforme au RGPD.
La Cnil a été saisie de plusieurs plaintes par une association concernant le transfert, vers les Etats-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées dans les 27 Etats membres de l’Union européenne et les trois autres Etats de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les Etats-Unis.
La Cnil conclut que les transferts vers les Etats-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du règlement 2016/679 du 27 avril 2016, dit règlement général sur la protection des données ou RGPD) concernant les transferts vers les Etats-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.
Or, la Cnil a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.
Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.
La Cnil constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD.
Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE.
Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.
Concernant les services de mesure et d’analyse d’audience d’un site web, la Cnil recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une (...)
