La CNIL confirme : aucun moyen légal d'utiliser Google Analytics conformément au RGPD
La CNIL confirme : aucun moyen légal d'utiliser Google Analytics conformément au RGPD
TL;DR — Réponse rapide
1 min de lectureLa CNIL a confirmé qu'il n'existe aucune circonstance dans laquelle Google Analytics peut être utilisé en conformité avec le RGPD, rejetant l'anonymisation, le chiffrement et toutes les autres solutions de contournement proposées.
L'autorité française de protection des données (CNIL) a explicitement déclaré lors d'une session de questions-réponses que l'utilisation de Google Analytics continue de violer le RGPD. Plus significativement, l'autorité a confirmé qu'il n'existe aucune circonstance dans laquelle cette utilisation devient conforme.
Contexte : l'impact de Schrems II
L'arrêt Schrems II a invalidé le Privacy Shield UE-États-Unis, le mécanisme qui avait facilité les transferts de données transatlantiques. Selon le droit de l'UE, les transferts de données hors de l'UE nécessitent des garanties adéquates. Puisque la loi américaine peut contraindre les fournisseurs de services de communications électroniques à divulguer des données aux agences de renseignement, le cadre existant a été jugé inadéquat. Plusieurs autorités européennes de protection des données ont par la suite statué que l'utilisation de services d'analytique basés aux États-Unis viole le RGPD.
La position de la CNIL
La CNIL a confirmé que l'accord politique annoncé entre l'UE et les États-Unis n'a aucune valeur juridique et ne peut pas servir de mécanisme de conformité. L'autorité prévoyait que la finalisation de tout cadre juridique prendrait un temps considérable, suivie de contestations juridiques inévitables.
La CNIL a adressé des mises en demeure formelles aux organisations et leur a accordé un mois pour se conformer. L'autorité a spécifiquement rejeté toutes les solutions techniques proposées par le fournisseur d'analytique :
Anonymisation des données : Rejetée car le fournisseur n'a pas pu démontrer que l'anonymisation avait lieu avant le transfert des données aux États-Unis.
Identifiants uniques : Rejetés car les identifiants pouvaient être combinés avec d'autres données pour ré-identifier les utilisateurs.
Chiffrement des données : Rejeté car le fournisseur conserve les clés de chiffrement, maintenant la capacité d'accéder aux données personnelles.
Suivi des adresses IP : L'autorité a noté que les services permettant le croisement des adresses IP permettent de retracer l'historique de navigation des utilisateurs.
Implications
La décision s'applique à toutes les versions et configurations de la plateforme d'analytique, y compris la plus récente. La CNIL ayant déclaré sans équivoque qu'aucune configuration conforme n'existe, l'application devient simple. Les organisations font face à un choix clair : passer à des alternatives conformes ou accepter le risque d'action réglementaire.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Articles connexes
La France declare Google Analytics illegal au regard du RGPD : ce que signifie la decision de la CNIL
La CNIL francaise a juge que Google Analytics viole le RGPD en raison de transferts de donnees non autorises vers les Etats-Unis, mettant en demeure les organisations de passer a des alternatives conformes.
Google Analytics fait face a des defis juridiques croissants en Allemagne
Les autorites allemandes de protection des donnees et de passation des marches publics expriment des preoccupations croissantes concernant Google Analytics, rejoignant le schema plus large d'application europeenne contre les outils d'analyse americains.
La CNIL intensifie ses actions d'application du RGPD
La CNIL a considérablement augmenté ses actions d'application concernant les violations de cookies, les transferts de données et les droits des personnes concernées, signalant la fin de la période de grâce du RGPD.