LE BLOG SOLEDIS

23 Fév 2022
data protection RGPD

Mise en demeure de Google Analytics par la CNIL, on fait le point

[article mis à jour le 14 juin 2022]

Les équipes de Soledis sont en veille : une actualité secoue le monde du webmarketing depuis début 2022. Google Analytics va-t-il être interdit en Europe ? Nos données sont-elles en danger ? Faut-il changer d’outil de tracking dès aujourd’hui ? Quelles conséquences ?

On fait le point sur ce sujet brûlant !

 

Rappel des faits

 

  • Le 16 juillet 2020, la Cour de justice de l’Union Européenne (CJUE) publie l’arrêt Schrems II qui invalide le Privacy Shield, considérant qu’il existe un risque que les services de renseignements américains accèdent aux données personnelles transférées aux Etats-Unis (du fait de la loi FISA et de pratiques déjà connues de la NSA), si ces transferts ne sont pas correctement encadrés. Cela est contraire à la réglementation européenne RGPD.
  • Depuis, l’UE et les Etats-Unis se sont engagés à trouver un accord pour encadrer ces transferts de données.

    huffingtonpost, leroymerlin, decathlon, mobile.free.fr, auchan et sephora visé par NOYB
    Liste des sites web français visés par une plainte de l’association NOYB pour des transferts de données vers les Etats-Unis. (source : site NOYB)
  • Dans les mois qui suivent, l’association NOYB «My Privacy is None of Your Business » porte plainte 101 fois dans les 27 états membres de l’UE pour des transferts de données vers les Etats-Unis.
  • En janvier 2022, la DSB, équivalent de la CNIL en Autriche publie une mise en demeure d’un éditeur web local en accusant Google Analytics de ne pas être compatible avec la RGPD.
  • Le 4 février 2022, Google répond par un communiqué en reportant la responsabilité sur l’Etat américain qui doit effectivement trouver un accord avec l’UE concernant l’exploitation des données. Google s’engage également à ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques recueillies pour ainsi se mettre en conformité.
  • Le 10 février 2022, c’est au tour de la CNIL, en France de mettre en demeure un gestionnaire de site web en considérant l’utilisation de Google Analytics comme illégale. D’autres condamnations ailleurs en Europe devraient suivre. Google a un mois pour se mettre en conformité.
  • Le 25 mars 2022, La Commission européenne et les États-Unis annoncent dans un communiqué de presse un accord de principe sur un nouveau cadre transatlantique de protection des données personnelles, qui favorisera les flux de données transatlantiques et répondra aux préoccupations exprimées par les institutions européennes. Ce n’est à ce stade qu’une déclaration politique et non encore un cadre juridique, comme le précise le Comité Européen pour la Protection des Données (CEPD) dans sa déclaration du 6 avril.

 

Et maintenant, quelles options possibles ?

 

  • Soit les Etats-Unis adaptent leur protection des données à la réglementation européenne pour protéger Google et toute son industrie de la Tech.
  • Soit Google met en place un stockage des données en Europe.
  • Soit Google Analytics est interdit en Europe et des alternatives locales prennent sa place. La CNIL a publié une liste d’alternatives respectant la RGPD qui peuvent donc se passer du consentement de l’utilisateur (le fameux « acceptez-vous les cookies ? » très largement refusé par les internautes).
  • Si le bras de fer se prolonge, à noter que la loi RGPD prévoit une amende qui peut aller jusqu’à 20 millions d’euros ou 4% du CA de l’entreprise coupable. Pour l’instant, la CNIL n’est pas dans un esprit de condamnation mais d’avertissement avec un délai de mise en conformité.

 

4 liens pour aller plus loin :

 

Quelle que soit l’issue de la relation de Google avec la CNIL, les équipes Soledis travaillent à la mise en place de propositions de standards d’analytics alternatifs à Google pour les responsables de sites web souhaitant dès à présent s’éloigner du géant américain.