Nous l’avons appris au cours des derniers jours, la CNIL a mis en demeure un gestionnaire de site web, sans nom divulgué, du à son utilisation de Google Analytics. Cette décision intervient à la suite d’un dépôt de 101 plaintes par l’organisation None Of Your Business, dans 30 pays différents, dont les 27 États membres.
Alors, pourquoi ?
Malgré l’intérêt que représente cette solution pour votre entreprise, en termes de statistiques, sachez que les données collectées, qui sont des données personnelles, sont directement transférées vers les Etats-Unis.
Or, nous le savons, les transferts de données sont strictement encadrés, au vu des risques possibles pour les personnes concernées.
L’invalidation de Schrems II, qui est intervenue il y a maintenant 2 ans, a une place importante dans cette décision.
Schrems II ?
Ne respectant pas les conditions nécessaires, principalement parce que les autorités américaines pouvaient sans encadrement avoir accès à ces données, la Cour de Justice de l’Union Européenne avait invalidé le Privacy Shield.
Ce qui veut dire qu’il est nécessaire d’avoir une décision d’adéquation, pour assurer du niveau de protection adéquat au RGPD ou qu’il faut des garanties appropriées aux transferts. Google Analytics ne respecte ni la première option, ni la seconde. En effet, il n’y aucune certitude que les autorités américaines n’aient aucun accès à l’ensemble des données personnelles générées par l’outil. Cette situation représente un risque important pour l’ensemble des personnes concernées.
C’est dans cette situation globale et en violation de l’article 44 du RGPD, que le gestionnaire de site web s’est vu alerté par l’autorité de protection des données française.
Article 44 du RGPD
La suite ?
Au cours du mois qui lui est laissé pour se mettre en conformité, l’entreprise devra alors rendre conforme ses traitements de données et si nécessaire cesser d’utiliser Google Analytics et trouver un équivalent respectueux des textes de lois.
Mais alors, comment savoir si vous êtes dans l’illégalité ? Comment savoir si vous êtes la prochaine cible de la CNIL ?
Il est évident que si vous vous servez de cet outil, vous franchissez la ligne des transferts de données personnelles autorisés. Pour rappel, les “cookies” de mesure et analyse d’audience et de trafic sont exemptés de consentements si les données statistiques produites sont anonymes et respectent les autres conditions, dont l’absence de transfert illégaux.
Il est donc important de bien penser aux outils dont vous vous servez et si besoin d’avoir recours à d’autres outils qui vous assurent une conformité au RGPD ; soit des outils situés en Europe pour éviter un transfert EU-USA ou des outils aux USA mais qui ont des garanties suffisantes.
Si vous avez des doutes, contactez-nous pour qu’on puisse en parler ensemble ! Et en attendant la semaine prochaine, prenez soin de vos données personnelles !
Contactez nous !
