Google Analytics : la CNIL s'explique sur les mises en demeure

Publié le 12 juin 2022 à 15h00

Le 10 février dernier, la Commission nationale de l’Informatique et des Libertés (CNIL) avait envoyé une première mise en demeure au gestionnaire d'un site web - qui reste anonyme - en raison de son utilisation supposée illégale de Google Analytics.

Pour rappel, Google Analytics est un outil accessible gratuitement par les entreprises présentes en ligne. L'interface permet d'accéder à des statistiques détaillées sur le trafic d'un site web. Pour cela, Google recueille les données de chaque internaute en lui attribuant un identifiant unique. Problème : les données des utilisateurs sont transférées puis stockées aux États-Unis, où elles seraient insuffisamment protégées. Cela va à l'encontre des règles du RGPD - le règlement qui encadre le traitement des données au niveau européen. Voilà ce qui a récemment poussé la CNIL à envoyer des mises en demeure à plusieurs organismes basés en France. Aujourd'hui, elle explique sur son site internet les raisons qui l'ont conduite à prendre ces décisions.

Une centaine de plaintes dans toute l'Europe

Il est probable que cette affaire n'ait pas vu le jour sans l'action d'une association, NOYB (None Of Your Business), qui milite depuis 2017 pour la défense de la vie privée en Europe. Initialement créée par Max Schrems, un avocat autrichien, elle est devenue très active dans l'Union européenne.

En août 2020, NOYB a déposé 101 plaintes auprès des autorités de protection des données européennes - notamment la CNIL - du fait de l'utilisation de Google Analytics par certaines entreprises.

Un délai d'un mois pour se mettre en conformité

Dans sa première mise en demeure du 10 février, rendue publique, la CNIL justifie sa décision en estimant que « les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ». Cela va donc à l'encontre des règles du RGPD. De ce fait, les données de ces internautes sont considérées comme étant transférées de manière illégale par le biais de Google Analytics.

Les entreprises mises en demeure disposent toutefois d'un délai d'un mois (renouvelable) pour se mettre en conformité. Si l’organisme ne répond pas au courrier dans le délai imparti ou que ses actions ne répondent toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à son encontre.

Sur le même sujet :
RGPD : la CNIL met en demeure 22 communes et les somme de se doter d'un DPO

Source : CNIL

Par Sylvain Guillet

J'écris avec mon coeur et j'enquête avec ma tête pour fournir à mes lecteurs une information irréprochable. Mes spécialités ? La Tech et les nouvelles tendances du digital, source inépuisable d'étoiles dans mes yeux.

Articles de Sylvain Guillet

Données personnelles

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

Oldtimer

J’espère que la sanction sera à la hauteur des gains que permet cette collecte de données…

Maxime.TE

La CNIL ferait mieux de se préoccuper des plaintes des citoyens. Je l’ai contactée par rapport au fait que Deliveroo s’était autorisé à conserver mon numéro de téléphone malgré la suppression de compte. Et un an après ma plainte, j’ai reçu une réponse de la CNIL indiquant qu’elle ne voyait pas le problème.

MattS32

Et elle a raison. Le RGPD autorise à conserver certaines données pendant un certain temps après la fermeture d’un compte quand c’est nécessaire pour défendre les intérêts légitimes de l’entreprise.

En l’occurrence, entrent dans ces intérêts légitimes le fait de pouvoir distinguer un vrai nouveau client d’un ancien client qui revient, pour éviter que les gens n’abusent des offres promotionnelles réservées aux nouveaux clients.

C’est dommage, parce que techniquement ça pourrait en fait se faire sans le conserver (il suffit d’en conserver un hash), mais le fait est que c’est autorisé.

Mireilledu13

On est passé à une solution gratuite et référencée par la CNIL (Abla Analytics). Faut juste faire l’effort, mais après vraiment pas de différence.

Maxime.TE

Elle a probablement raison. Je m’étonne justement qu’une telle exception si large soit possible. Elle rend de fait caduque tous le bazar parce qu’il suffit alors à une entreprise de faire valoir son « intérêt légitime » à conserver mes données pour qu’elle n’en fasse qu’à sa tête en toute impunité. Le RGPD m’apparait alors surtout comme un écran de fumée, s’il est si facilement contournable.

Je m’étonne d’autant plus de cette connivence qu’il s’agit d’une entreprise étrangère, spécialisée dans l’exploitation des failles du systèmes de la micro-entreprise.

lnho

Il y a aussi la solution Matomo comme alternative intéressante et recommandée.

MattS32

Non, elle n’en fait pas qu’à sa tête. Déjà il faut que cet intérêt légitime soit justifié. Tu peux pas le faire en disant juste « j’ai un intérêt à le faire ».
Ensuite, il faut aussi que ça soit proportionné. Conserver un numéro de téléphone pendant un ou deux ans pour éviter que quelqu’un profite à nouveau d’une promotion « nouveau client », c’est proportionné. Conserver nom, prénom, adresse, mail, téléphone, date de naissance, numéro de sécu, copie de la carte d’identité pendant dix ans pour le même motif, ce n’est pas proportionné.

L’activité d’une entreprise n’a pas à entrer en ligne de compte dans l’évaluation de son respect ou non du RGPD.

Maxime.TE

Cette notion d’intérêt légitime est trop floue, et la proportionnalité ne la rend pas moins imprécise. Conserver un numéro de téléphone pendant un an, simplement pour éviter que les personnes bénéficient d’une promotion n’est pas proportionné. Ce que je critique c’est justement le fait que la CNIL considère comme acceptable cette conservation.

On est d’accord que c’est subjectif, que s’est laissé à l’appréciation. M’enfin, c’est là tout le problème. A mon sens, on ne peut pas s’enorgueillir d’un règlement vendue comme presque une avancée gigantesque, tout en laissant des possibilités de le contourner aussi simplement.