Dans une décision publiée aujourd'hui sur son site web, la CNIL vient d'enjoindre un gestionnaire de sites français de cesser d'utiliser Google Analytics. Elle considère en effet qu'il existe une infraction au RGPD au niveau du transfert des données vers les USA et une possibilité pour que les renseignements américains accèdent à ces dernières.
Se fondant sur le règlement général, elle dit avoir analysé les conditions de collecte et de transfert vers les États-Unis et les risques encourus. Elle rappelle au préalable que Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.
Dans un premier temps, elle reconnait que Google a adopté des mesures supplémentaires pour encadrer ce transit via Google Analytics, mais que cela ne suffit pas à exclure la possibilité d’accès des services de renseignements américains à ces dernières.
Dans le cadre de son pouvoir de recommandation, la CNIL rajoute quelques précisions concernant les services de mesure et d’analyse d’audience d’un site web. Pour elle, ces outils ne doivent servir qu'à fournir des statistiques anonymes, qui ne nécessite pas d'obtenir de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux. Elle en profite pour rappeler l'existence un programme d’évaluation pour déterminer les cas concernés et éviter les éventuels abus ou erreurs.
Le problème réside donc dans le type de données collectées et l'application du RGPD (ou son absence en l'espèce) par les USA. La CNIL entend se pencher un peu plus sur la question, notamment vérifier d’autres outils utilisés par des sites (Facebook ?) et qui donnent lieu à des transferts similaires.
