Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’inquiétude des DPO face aux premières mises en demeure de la CNIL pour utilisation de Google Analytics

avril 2022 par AFCDP

Le 10 février dernier, la CNIL annonçait sur son site[1] une première mise en demeure de l’une des sociétés qui avaient fait l’objet d’une série de plaintes de l’association NOYB (Decathlon France SA, Auchan e-Commerce France et Sephora SAS) pour utilisation de Google Analytics.

Remise en cause de la conformité au RGPD de la plupart des sites web actuels
Par cette décision, la CNIL remet en cause la conformité de nombre de sites web français actuels, et la pratique vraisemblablement la plus utilisée en ce domaine par les prestataires de création de sites. D’autant plus que la CNIL a décidé le 2 mars 2022, deux nouvelles mises en demeure visant deux autres entreprises pour les mêmes raisons[2].

Comme indiqué par la CNIL sur son site, « Google Analytics permet de disposer de statistiques de fréquentation d’un site web. La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées[3] grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles. »

Depuis l’invalidation du Privacy Shield[4] (juillet 2020), il n’y a pas de doute pour les DPO sur le fait que Google n’est plus en conformité avec les articles 44 et suivants du RGPD, relatifs aux transferts de données hors Union Européenne. Comme le souligne la CNIL, « si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées. »

Depuis l’invalidation du Privacy Shield, les DPO recherchent activement des solutions pour contourner l’utilisation de solutions et services soumis aux juridictions américaines dans leurs organisations. Ces premières mises en demeure marquent une nouvelle urgence à trouver ces solutions. L’AFCDP a donc organisé très rapidement un éventail de services pour accompagner les DPO dans ce défi.

La recherche de solutions par l’ensemble de la communauté des DPO

Les DPO échangent entre pairs sur le forum de l’AFCDP, nommé « AGORA », depuis des dizaines de mois pour s’inspirer des bonnes pratiques, astuces, et pistes de solutions mises en place par les un(e)s et les autres.

De plus, le groupe de travail dédié aux problématiques liées au Marketing Digital, créé en 2011 et mené par Muriel Glatin et Florence Gaullier, organise régulièrement des échanges et recherches sur ces sujets.

Le 4 mars dernier, l’AFCDP organisait un webinaire avec plus de 400 de ses membres pour échanger en direct avec deux représentantes de Google Analytics. Riche en questions, cet événement a été complété la semaine suivante par un webinaire organisé avec un expert des outils de Marketing Digital.

« L’un des enseignements majeurs de ces échanges avec ces experts, a été de rappeler que nous pouvons déjà agir sur quelques éléments sur lesquels nous avons la main aujourd’hui, notamment revoir les paramétrages par défaut de ces outils », commente Muriel Glatin, membre administratrice de l’AFCDP.

Mais, malheureusement, toutes ces réponses restent incomplètes et les DPO partagent la même conclusion : à ce stade, seuls un changement de législation aux États-Unis ou un nouvel accord transatlantique pourraient permettre d’être aujourd’hui en parfaite conformité avec le RGPD. Un accord de principe a été annoncé le 25 mars, mais au-delà de l’intention politique, très médiatisée, l’incertitude subsiste sur la réalité d’un Privacy Shield II opérationnel à court terme, et en l’absence d’évolution législative aux États-Unis, sur ses chances d’échapper à la censure de la CJUE. La majorité des DPO, à défaut de possibilité de redéveloppement des sites internet, ne peuvent conseiller de solutions pérennes.

Et la CNIL elle-même souligne l’urgence de se mettre en conformité : « D’autres procédures de mise en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics. L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement. »

« Aujourd’hui, nous n’avons pas de solutions satisfaisantes permettant d’être vraiment en conformité parfaite avec le RGPD pour tout ce qui concerne l’utilisation de services et solutions soumis aux juridictions américaines, si ce n’est se priver des outils parmi les plus performants à l’heure actuelle. Cela reste un problème pour la majorité des organisations françaises, mais l’AFCDP peut témoigner d’un soutien collectif des DPO dans cette période vécue comme une adversité, et confirme une volonté affirmée par tous de trouver des solutions au plus vite. » conclut Paul-Olivier Gibert, Président de l’AFCDP.


[1] https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
[2] https://noyb.eu/sites/default/files/2022-04/20220302_CNIL_101-complaints-decision-two_Redacted.pdf et https://noyb.eu/sites/default/files/2022-04/20220302_CNIL_101-complaints-decision-three_Redacted.pdf
[3] (IP, informations sur son navigateur et sur son système d’exploitation, identifiant du cookie visiteur Google Analytics, un compte utilisateur, un identifiant interne, les identifiants de commande, …) autant de données qui permettent l’identification physique d’une personne.
[4] Accord international autorisant les transferts de données personnelles entre l’UE et les EU


Voir les articles précédents

    

Voir les articles suivants