La CNIL utilise Google Analytics comme argument pour accuser plusieurs sites français de violation de la vie privée. Ce faisant, la CNIL suit l’exemple des autorités néerlandaises, norvégiennes et autrichiennes†
« Google Analytics ne prend pas suffisamment de mesures pour garder les données personnelles européennes hors de portée des agences de renseignement américaines », a déclaré la CNIL. L’autorité a demandé à plusieurs utilisateurs français de Google Analytics de modifier leurs politiques dans un délai d’un mois.
Google est sous le feu des critiques européennes depuis la fin de 2021. L’effet d’entraînement a commencé en Autriche, où l’autorité nationale des données et de la confidentialité a condamné avec succès une entreprise pour violation de la vie privée en raison de Google Analytics. Peu de temps après, l’Autorité néerlandaise de protection des données (AP) a annoncé que Google Analytics « pourrait bientôt ne plus être autorisé ». Les autorités norvégiennes ont soutenu l’Autriche et les Pays-Bas, maintenant la CNIL française suit.
Google Analytics est-il illégal ?
Si vous gérez un site Web et utilisez les paramètres par défaut de Google Analytics, vous autorisez Google à stocker des données personnelles européennes aux États-Unis. Les agences de renseignement américaines ont le droit légal d’accéder aux données aux États-Unis. Les lois européennes, en revanche, stipulent que personne ne peut consulter les données personnelles européennes, que les données personnelles soient stockées ou non en dehors de l’UE. Cela signifie que les paramètres par défaut de Google Analytics violent le RGPD.
Pas assez
Les utilisateurs d’Analytics ont accès à des paramètres pour anonymiser les données personnelles. Si vous utilisez les paramètres, les données seront traitées proprement conformément aux lois européennes et américaines. Google ne voit aucune option pour activer les paramètres par défaut. Cela pourrait poser des problèmes avec la loi américaine. L’organisation subit la pression de deux continents.
Le long terme
Les autorités européennes n’ont aucun moyen de s’adresser directement à Google. La responsabilité du traitement des données incombe aux utilisateurs d’Analytics. Cependant, les autorités européennes peuvent imposer des sanctions légères aux utilisateurs pour rendre progressivement le logiciel moins populaire. C’est exactement ainsi que fonctionnent actuellement la CNIL française, l’AP néerlandaise et d’autres autorités.
Si votre organisation utilise Analytics, vous n’êtes par définition pas punissable. Suivez pour être sûr conseils de l’autorité néerlandaise de protection des données.