La Commission Nationale de l’Informatique et des Libertés met en demeure le gestionnaire d’un site web français (dont le nom n’a pas été dévoilé) et le somme de respecter le RGPD, et de ne plus utiliser Google Analytics "si nécessaire".
L’utilisation de Google Analytics fait décidément beaucoup parler d’elle ces temps-ci. La semaine dernière, l’autorité de protection des données autrichienne épinglait un site local pour la récupération illégale de données personnelles via l’outil d’analyse de Google. Aujourd’hui, c’est au tour de la CNIL, l’autorité française chargée de la protection des données personnelles, de faire de même.
Envoi de données personnelles européenne vers les États-Unis
La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.
La CNIL comme d’autres autorités de protection de la vie privée européennes ont été saisi par My Privacy Is None of Your Business (NOYB). Selon cette association européenne, les données personnelles européennes non anonymes transférées vers les Etats-Unis pourraient être consultées par les renseignements américains, qui y sont autorisés selon la loi en vigueur outre-atlantique. Cela constituerait une violation majeure du Règlement Général sur la Protection des Données.
À long terme, les GAFAM devront s’adapter
NOYB, propose deux solutions à long terme. Premièrement que les États-Unis adaptent les protections de base pour les données étrangers afin de soutenir leur industrie technologique. Deuxièmement que les fournisseurs américains hébergent les données étrangères en dehors des États-Unis, et notamment en Europe où les données personnelles sont protégées par le RGPD.
Facebook Connect également dans le viseur
Selon un article du Monde, Facebook serait également concerné par ce problème de données personnelles. Son outil Facebook Connect, qui permet à un utilisateur d’utiliser son compte sur le réseau social pour se connecter à un site tiers, récupérerait également des données personnelles non-anonymes. Comme celles récupérées par Google Analytics, ces données stockées sur les serveurs de Facebook aux Etats-Unis ne bénéficieraient pas de la même protection que sur le territoire européen.