Google Analytics jugé illégal par la CNIL
Les Français espionnés par les États-Unis ? C’est la question que beaucoup se posent depuis le 10 février dernier. La Commission National de l’Informatique et des Libertés (CNIL) avait alors annoncé la mise en demeure d’un gestionnaire de site web pour l’utilisation, jugée illégale, de Google Analytics.
Rappelons-le, Google Analytics est un outil qui permet d’approfondir vos connaissances sur le comportement de vos clients sur votre site web gratuitement. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant constitue alors une donnée personnelle et elles sont actuellement transférées par Google aux États-Unis.
DEPUIS LE RGPD
Or, depuis le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016 et l’arrêt « Schrems II » de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020, le transfert de données à caractère personnel vers un pays tiers est particulièrement encadré.
Lors de cet arrêt de 2020, la CJUE avait analysé la législation américaine en matière d’accès aux données des fournisseurs de services Internet et entreprises de télécommunications par les services de renseignements américains (Section 702 FISA et Executive Order 12 333). Elle en avait conclu que : “la collecte des données par les services de renseignement n’est pas proportionnée et que les voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement de leurs données sont insuffisantes” (source : CNIL), invalidant de ce fait le Privacy Shield.
LA FIN DU PRIVACY SHIELD
Cette décision entraine-t-elle l’interdiction du transfert de données vers les États-Unis ? Non, mais cela rajoute du flou autour de la protection des données personnelles et surtout si ces dernières sont transférées aux États-Unis. Depuis lors, Mark Zuckerberg, au nom de Meta, dénonçait ce flou juridique et avait menacé de fermer Facebook et Instagram en Europe en 2020, puis récemment Meta en 2022.
POURQUOI GOOGLE ANALYTICS JUGÉ ILLÉGAL ?
Comme expliqué ci-dessus, la protection des données n’étant plus assuré par le rejet du Privacy Shield par l’arrêt Schrems II, le transfert des données vers les États-Unis deviennent illégaux. Par conséquence, tous les outils et applications qui transfèrent leurs données et celles de leurs utilisateurs vers les États-Unis sont jugées illégales.
En décembre 2021, Max Schrems, co-fondateur de l’association None Of Your Business (NOYB), littéralement : “Ça ne vous regarde pas” en français avait engagé quelques actions (101 actions dans les 30 États concernés par le RGPD) pour mettre un terme à l’utilisation de Google Analytics et les transferts de données que cela nécessitait. Les autorités autrichiennes (DSB) s’étaient alors positionnées en faveur de l’interdiction de Google Analytics depuis décembre 2021.
Décision qui s’est confirmée en France par la mise en demeure de gestionnaire de sites utilisant Google Analytics par la CNIL depuis le 10 février 2022.
CONSÉQUENCES D’UNE TELLE DÉCISION ?
Compte tenu de la jurisprudence récente, il devient OBLIGATOIRE à court-terme, pour les éditeurs et gestionnaires de site web de changer d’outils d’analyse afin d’éviter le transfert de données vers les États-Unis.
À long terme, deux options sont envisageables, selon Max Schrems :
“Soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et l’UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain – et non de quiconque en Europe.”
QUELLES ALTERNATIVES ?
Selon nous, les alternatives les plus sensées reste Matomo et Open Web Analytics. Voici un tableau récapitulatif de leurs fonctionnalités.
