Des transferts « illégaux » : ce que la Cnil reproche à Google Analytics

La Cnil a mis en demeure le gestionnaire d'un site web en France utilisant Google Analytics pour le pousser à ne plus se servir du très populaire outil de mesure d'audiences jugé illégal par l'autorité.

« Illégaux ». Le mot est fort et loin d’être anodin. La Commission nationale de l’informatique et des libertés (Cnil) met en demeure un site web français pour l’obliger à cesser son utilisation de Google Analytics. Vous avez sans doute déjà croisé le nom de cet outil très utilisé par de très nombreux éditeurs pour mesurer et analyser le taux de fréquentation.

L’autorité écrit dans un communiqué qu’elle estime, au regard du RGPD, « que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles ».

Les données de Google Analytics envoyées aux États-Unis

Mais de quoi parle-t-on ici au juste ? La Cnil fait ici référence aux données collectées par Google Analytics. Or, ces informations sont transmises sur des serveurs aux États-Unis du géant de Mountain View. Il y a donc un transfert qui s’opère depuis la France vers le pays de l’Oncle Sam et c’est précisément ce fonctionnement que l’organisme pointe du doigt.

La Cnil précise avoir mené une enquête avec d’autres régulateurs européens. Le but : « analyser les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées ».

Pas conforme au RGPD

Or, la Cnil a conclu que les transferts d’informations vers les États-Unis n’étaient pas assez encadrés pour le moment. Du moins, pas tant que Washington n’alignera pas sa politique de protection des données privées sur les exigences du RGPD européen. En d’autres termes, l’autorité explique que s’il n’y a pas assez de garanties, il ne doit pas y avoir de transferts de données de la France vers les États-Unis.

Et côté garanties, la Cnil n’a pas été satisfaite.

En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Vous l’aurez compris : la Cnil craint que les données agrégées par Google Analytics ne soient trop exposées au regard des agences de renseignement américaines qui pourraient s’intéresser de trop près à vos habitudes sur le web. Pour appuyer son propos, l’organisme rappelle que l’outil de mesure d’audience attribue à chaque visiteur d’un site web un identifiant unique et que cet identifiant « constitue une donnée personnelle » qui ne devrait pas se retrouver aux États-Unis.

None of Your Business

On ne sait pas qui exactement (personne physique ou morale) a été mis en demeure par la Cnil. Cependant, l’autorité a déclaré à l’AFP — reprise par BFM — que deux autres gestionnaires de sites français sont également visés par des plaintes.

Notez par ailleurs que la Cnil a mené cette investigation après avoir été saisie par l’association autrichienne NOYB (None of Your Business) qui milite pour une meilleure protection des données privées sur Internet.

Le gestionnaire de site mis en demeure a désormais un mois pour se mettre en conformité. Mais au-delà de cet éditeur, les conclusions de la Cnil pourraient par la suite affecter des centaines de milliers (des millions ?) de plateformes, médias et services sur le web. Google Analytics est vraiment utilisé par une foultitude de sites.