Le 10 février 2022, suite à une plainte de l’association Autrichienne NOYB, la CNIL a mis en demeure un gestionnaire de site web de ne plus utiliser Google Analytics, constatant que l’usage d’un tel outil implique des transferts de données illégaux vers les USA, comme nous l’avions déjà traité. Pour mémoire, Google Analytics est un outil de production et de gestion de statistiques web utilisé de manière pratiquement hégémonique, tant qu’il permet à Google une connaissance approfondie de l’usage du web et un profilage très fin des internautes.
Jusqu’ici une telle décision manquait pour appuyer le point de vue que défend PiaLab auprès de ses clients depuis juillet 2020, de manière à prévenir le risque de sanction et de leur permettre d’assurer un niveau de protection des données adéquat pour les personnes concernées. Aujourd’hui la conclusion est sans ambiguïté :
- de manière générale, il n’est pas possible de transférer des données vers les USA en assurant la continuité des droits et libertés fondamentales des personnes, et
- de manière particulière, l’utilisation de Google Analytics est illégale.
Dans un État de droit sans friction, si ceci est un fait depuis le 16 juillet 2020 et l’arrêt « Schrems II » de la CJUE, cette décision de la CNIL donne une illustration réelle immédiate, s’imposant de droit, comme quoi les transferts de données vers les USA et l’usage de Google Analytics ne peuvent pas être licites.
Le conseil de PiaLab pour les éditeurs de site web
Refusez l’implémentation de Google Analytics pour de nouveaux sites web (devoir de conseil pour les prestataires, devoir de conformité à la loi pour les responsables de traitement) et lancez immédiatement sur les sites web existants un chantier de remplacement par un autre outil de mesure statistique (ex: le logiciel Matomo, ouvrant la possibilité d’exemption de consentement pour l’utilisation de cookies).
Prenez bien en compte les recommandations de la CNIL « Cookies : solutions pour les outils de mesure d’audience » avant d’implémenter une solution de statistiques sur un site web.
Le conseil de PiaLab pour les responsables de traitements
Revoyez votre registre des traitements de manière à vous assurer qu’aucun traitement de données à caractère personnel n’implique de transfert de données aux USA.