A la suite de plusieurs plaintes émises par l’association NOYB, la CNIL a analysé la conformité au RGPD de Google Analytics, et plus particulièrement la conformité au chapitre V du RGPD, relatif à l’encadrement des transferts de données hors Union Européenne.
Google Analytics est un outil pouvant être intégré sur des sites web, par les gestionnaires de ces derniers, afin de mesurer le trafic. Dans le cadre de l’utilisation de cet outil, des données personnelles sont collectées (notamment l’identifiant du visiteur) puis transférées par Google aux Etats-Unis.
En coopération avec les autres autorités de contrôle européennes, la CNIL a analysé les conditions dans lesquelles les données collectées sont transférées vers les Etats-Unis, pays n’assurant pas un niveau de protection adéquat depuis l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne (arrêt « Schrems II »).
La CNIL a d’abord rappelé qu’en l’absence de décision d’adéquation, le transfert de données personnelles vers les États-Unis n’est conforme au RGPD que s’il est encadré par (i) des garanties appropriées (comme des Clauses Contractuelles Types) comportant (ii) des mesures supplémentaires visant à garantir le plein effet des garanties appropriées.
Bien que constatant la présence de mesures supplémentaires, la CNIL a considéré ces dernières insuffisantes car ne permettant pas d’exclure « la possibilité d’accès des services de renseignements américains à ces données ».
Selon la CNIL, l’utilisation de cet outil fait donc peser un risque sur les internautes français. En l’absence de mesures supplémentaires adéquates, la CNIL a considéré que l’utilisation de Google Analytics engendrait une violation des articles 44 et suivants du RGPD, et a mis en demeure le gestionnaire d’un site de mettre en conformité, dans un délai d’un mois, les traitements qu’il effectue. Cette mise en conformité, précise la CNIL, peut nécessiter de cesser « d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) » ou d’avoir « recours à un outil n’entraînant pas de transfert hors UE ».
Désormais, la CNIL recommande de n’utiliser ces outils de mesure d’analyse et d’audience que pour produire des données statistiques anonymes, « permettant ainsi une exemption de consentement si le responsable du traitement s’assure qu’il n’y a pas des transfert illégaux ».