Google Analytics jugé illégal par la CNIL

La CNIL juge illégal le transfert de données entre l'UE et les États-Unis vers Google Analytics et met en demeure le responsable du traitement de se conformer au RGPD.

La décision de l'autorité autrichienne de protection des données précède de deux semaines celle de la CNIL.

L'utilisation continue de Google Analytics viole le RGPD et l'autorité française de protection des données (CNIL) met en demeure un site web français de se conformer au RGPD en retirant l'analyse d'audience via l'outil Google Analytics. Les décisions des deux autorités de contrôle répondent aux 101 plaintes types qui ont été déposées après l'arrêt de la Cour de justice invalidant le Privacy Shield.

Pour mémoire, en juillet 2020, la CJUE a rendu son arrêt révolutionnaire "Schrems II", estimant qu'un transfert vers des fournisseurs américains qui tombent sous le coup de FISA 702 et EO 12.333 viole les règles sur les transferts internationaux de données du RGPD. La CJUE a donc annulé l'accord de transfert "Privacy Shield", après avoir annulé l'accord précédent qu'on appelait le "Safe Harbor" en 2015. La décision de justice a provoqué une onde de choc mais les GAFAM américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des "clauses contractuelles types" en espérant contourner le problème et poursuivre les transferts de données. Si cela a semblé calmer les partenaires commerciaux européens, les autorités de contrôle (excepté celle d'Irlande qui s'est fait rappeler à l'ordre) n'ont pas apprécié le tour de passe passe.