UPDATE : la CNIL juge illégal le transfert de données entre l'UE et les États-Unis vers Google Analytics

10 Fév 2022

MISE À JOUR : la CNIL juge illégal le transfert de données entre l'UE et les États-Unis vers Google Analytics et ordonne au responsable du traitement de se conformer au GDPR

Deux semaines seulement après la décision révolutionnaire de l'autorité autrichienne de protection des données selon laquelle l'utilisation continue de Google Analytics viole le GDPR, l'autorité française de protection des données (CNIL) suit cette décision et ordonne à un site web français de se conformer au GDPR. Les deux décisions sont basées sur les 101 plaintes types déposées par noyb après l'arrêt de la Cour de justice invalidant le Privacy Shield. noyb s'attend à des décisions similaires de la part des autres autorités

l'arrêt de la CJUE de 2020 touche le monde réel. En juillet 2020, la CJUE a rendu son arrêt révolutionnaire "Schrems II", estimant qu'un transfert vers des fournisseurs américains qui tombent sous le coup de FISA 702 et EO 12.333 viole les règles sur les transferts internationaux de données du GDPR. La CJUE a donc annulé l'accord de transfert "Privacy Shield", après avoir annulé l'accord précédent "Safe Harbor" en 2015. Si cette décision a provoqué une onde de choc dans le secteur de la technologie, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des "clauses contractuelles types" pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de noyb.eu :"Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Ilexiste une task force européenne et nous supposons que cette action est coordonnée et que d'autres autorités prendront une décision similaire."

Décision pertinente pour presque tous les sites web de l'UE. Google Analytics est le programme de statistiques le plus répandu. S'il existe de nombreuses alternatives hébergées en Europe ou pouvant être auto-hébergées, de nombreux sites web s'appuient sur Google et transmettent ainsi les données de leurs utilisateurs à la multinationale américaine. Le fait que les autorités chargées de la protection des données puissent désormais déclarer progressivement les services américains illégaux renforce la pression sur les entreprises européennes et les fournisseurs américains pour qu'ils se tournent vers des options sûres et légales, comme l'hébergement hors des États-Unis.

Solution à long terme. À long terme, il semble y avoir deux options : Soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger les données étrangères en dehors des États-Unis.

Max Schrems :"À long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et l'UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain - et non de quiconque en Europe."