Comprendre la décision de la CNIL sur Google Analytics en 10 questions.

Comprendre la décision de la CNIL sur Google Analytics en 10 questions.




1. Qui est mis en cause dans cette affaire ?

Un « gestionnaire de site » web.  Ce n’est pas Google directement mais un utilisateur de Google Analytics.

2. De quel type de décision s’agit-il ?

C’est une mise en demeure : ce n’est pas une sanction. Si la société se plie à la mise en demeure, il n’y aura pas de sanctions.

3. Que doit faire l’utilisateur de GA ?
Il doit cesser d’utiliser Google Analytics dans le délai d’un mois.

4. Que se passe-t-il s’il refuse ?
Une procédure de sanction sera mise en œuvre.

5. J’utilise moi aussi Google Analytics, suis-je concerné par la décision ?
Oui. Toutes les sociétés l’utilisant sont soumises à la même interdiction. Avec cette communication de la CNIL, plus aucune entreprise ne pourra dire qu’elle ne savait pas.

6. Va-t-on voir fleurir d’autres décisions similaires ?
Oui, la CNIL le dit : « d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics. » 101 réclamations ont été déposées par l’association NOYB à l’origine de cette décision dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.

7. D’autres solutions nord-américaines vont-elle être concernées bientôt et si oui où ?
Oui, la aussi la CNIL prévient : « l’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement. ». Ça va concerner l’Espace Economique Européen (Union Européenne + Islande, Norvège et Liechtenstein).

8. Qu’est-ce qu’on reproche à Google Analytics ?
La CNIL considère que l’identifiant unique attribué à chaque visiteur par Google Analytics est une donnée personnelle et que cet identifiant et les données associées sont transférés aux États-Unis alors que les lois américaines autorisent trop facilement l’accès des services de renseignements américains aux données personnelles. Les règles de protection des données personnelles en Europe ne sont donc pas respectées.

9. Existe-t-il un rapport avec l'interdiction du TCF de l'IAB? Puis-je continuer à utiliser Google Analytics et une CMP soumise au TCF sur mon site web?
Il ne s'agit pas de la même décision mais le résultat est un peu le même : depuis le 2/02/2022 le TCF est déclaré non-conforme au RGPD par la CNIL belge. On n'a plus le droit de déposer de cookies via les CMP qui utilisent ce protocole de l'IAB sous peine de sanctions. Même chose pour Google Analytics :  dès lors que les données collectées ne sont pas anonymisées on ne peut plus l'utiliser sous peine de sanction.

10. Comment se mettre en conformité pour Google Analytics et pour le TCF?

Dans les deux cas, il faut adopter des solutions respectueuses du RGPD comme Axeptio, une solution française 100% conforme au RGPD.