La CNIL considère que Google Analytics viole le RGPD
La Commission française de protection de la vie privée, la CNIL, a publié une décision dans laquelle elle estime que l’utilisation de Google Analytics par un opérateur de site Web violait les règles du RGPD sur les transferts internationaux de données. La CNIL a conclu que le transfert de données vers les États-Unis n’est pas suffisamment encadré compte tenu du risque d’accès par les agences de surveillance américaines et de l’absence de décision d’adéquation UE-États-Unis.
Dans ses FAQ, la CNIL détaille les mesures que l’exploitant du site Internet doit prendre pour se conformer au RGPD concernant les transferts de données impliquant Google Analytics. Cela implique entre autres de garantir que Google traite les données personnelles uniquement au sein de l’Espace économique européen (EEE). Elle impose également aux opérateurs de sites Web de mettre en place des mesures contractuelles appropriées, telles que des clauses contractuelles types, ou de s’appuyer sur une certification fournie par Google.
La décision de la CNIL a été motivée par des plaintes déposées par le groupe de défense de la vie privée noyb contre l’opérateur du site Internet en question. Cela fait suite à une décision similaire de la DPA autrichienne selon laquelle l’utilisation de Google Analytics par les exploitants de sites Web a enfreint les réglementations RGPD. Il ne fait donc guère de doute que d’autres autorités de contrôle européennes parviendront à des conclusions similaires à l’avenir. Agence Google analytics Paris