La CNIL a publié des « Questions-Réponses » sur son site afin de répondre aux questions relatives (i) aux mises en demeure, (ii) à l’utilisation de Google Analytics et (iii) aux solutions alternatives.
A la suite de l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne le 16 juillet 2020, l’association NOYB (None Of Your Business) a déposé 101 plaintes auprès de différentes autorités de protection des données européennes concernant des sites web utilisant l’outil d’analyse d’audience Google Analytics (« l’outil »).
Dans une mise en demeure rendue publique le 10 février 2022, la CNIL a estimé que (i) les mesures mises en place par Google sont insuffisantes pour exclure la possibilité d’accès aux données de résidents européens et (ii) que les données d’internautes européens sont transférées illégalement par le biais de cet outil aux Etats-Unis.
La CNIL est revenue sur cette mise en demeure en publiant des « Questions-Réponses » sur son site.
Elle répond à 3 types de questions fréquentes :
La CNIL répond tout d’abord aux questions relatives aux mises en demeure en rappelant que les autorités européennes saisies de plaintes par l’association NOYB ont coordonné leurs positions et décisions et que les différentes plaintes en France ont fait l’objet d’une instruction coordonnée par la CNIL.
De plus, la mise en demeure a été anonymisée car, l’outil étant très répandu, l’objectif était que l’ensemble des responsables du traitement se mette en conformité. C’est aussi la raison pour laquelle, si les organismes mis en demeure disposaient d’un mois pour se mettre en conformité, tous les responsables du traitement doivent considérer dès à présent l’utilisation de Google Analytics comme illégale au regard du RGPD.
La CNIL a ensuite traité des questions concernant l’utilisation de l’outil en lui-même en rappelant (i) que la signature de clauses contractuelles types et de garanties supplémentaires est insuffisant pour assurer la protection effective des données transférées, (ii) qu’il n’est pas possible de continuer à utiliser l’outil, même avec le consentement explicite des personnes concernées et (iii) qu’il est impossible de paramétrer l’outil de façon à ne pas transférer de données personnelles ou de façon à ne transférer que des données anonymes hors de l’Union Européenne.
De même, la CNIL a indiqué que le chiffrement pouvait être une garantie supplémentaire suffisante à condition que les clés de chiffrement ne soient pas conservées par Google, mais qu’en l’état actuel, aucune garantie supplémentaire n’est satisfaisante, si ce n’est la solution de proxyfication proposée par la CNIL en juin 2022.
La CNIL a enfin évoqué les questions sur les solutions alternatives à disposition des responsables du traitement en rappelant l’existence d’une liste d’outils de mesure d’audience pouvant être exemptés du consentement (lorsque bien configurés). En cas de transferts vers un pays non adéquat, il est cependant nécessaire de procéder à une évaluation du cadre juridique du pays.
Pour finir, il est rappelé que les mesures techniques supplémentaires qui complètent les instruments de transfert hors UE doivent « rendre l’accès aux données impossible ou ineffectif ». Ainsi, un responsable du traitement ne peut pas considérer qu’en raison de la faible probabilité qu’une demande d’accès aux données soit effectuée, le transfert hors UE serait conforme au RGPD.
Lien vers les questions-réponses : ici
