Nouveau séisme dans le rapport de force entre l'Europe et les Etats-Unis sur le transfert de données transatlantiques. Le défenseur français de la vie privée, la Cnil, a annoncé ce jeudi la mise en demeure d'un éditeur qui utilisait l'outil Google Analytics, qui est un service gratuit de Google qui permet d'analyser l'audience d'un site web. La raison ? La Cnil a qualifié d'illégaux les transferts de données vers les Etats-Unis.
Saisie par l'ONG autrichienne de défense de la vie privée NOYB ("None of Your Business": "ce ne sont pas vos affaires"), la Cnil a estimé que les conditions de transfert des données collectées par cet outil statistique, faute d'encadrement, pouvaient exposer les utilisateurs français à des programmes de surveillance aux États-Unis. Car ces données, même hébergées en Europe, peuvent être récupérées par les autorités américaines (NSA, FBI, CIA...) en vertu du Cloud Act, sans en informer les utilisateurs.
Un effet domino avec des conséquences majeures
"Si Google a adopté des mesures supplémentaires pour encadrer les transferts, celles-ci ne suffisent pas à exclure la possibilité d'accès des services de renseignement américains à ces données", estime le régulateur.
Cet éditeur -dont la Cnil n'a pas dévoilé le nom- dispose désormais d'un mois pour se conformer au règlement européen sur la protection des données (RGPD), en cessant d'utiliser l'outil Google Analytics dans les conditions actuelles. Passé ce délai, il pourra faire l'objet de sanctions.
La décision de la Cnil est majeure et pourrait avoir des conséquences importantes sur le web européen. Car Google Analytics est un mastodonte. Omniprésent, il est déployé sur des millions de sites web et pèse à lui seul 80% du marché mondial de "l'analytics", c'est-à-dire la récolte de statistiques sur la fréquentation d'un site. Son tableau de bord est l'outil de référence pour de nombreux éditeurs, il est l'indicateur de référence pour comprendre le trafic. Il sert donc, pour beaucoup d'éditeurs, de co-pilote de la stratégie éditoriale.
"Tous les acteurs doivent se poser la question du recours à cet outil"
Cette mise en demeure marque un nouveau rebondissement dans la saga des transferts de données entre l'Europe et les États-Unis, après une première décision de l'autorité autrichienne visant Google mi-janvier. L'autorité autrichienne a ensuite été suivie par son homologue néerlandaise, et désormais par la France. La question alors se pose : Google Analytics sera-t-il bientôt banni de l'ensemble du territoire européen ?
En janvier, suite à la décision autrichienne, Google s'était efforcé de minimiser cette décision et avait appelé l'Union européenne et les États-Unis à négocier au plus vite un nouveau cadre juridique. Depuis, Meta -maison-mère de Facebook- a créé une polémique en alertant l'autorité des marchés américaine du fait qu'il pourrait devoir quitter l'Europe si Bruxelles n'adoucit pas ses exigences sur les transferts de données. Une menace voilée qui n'a pas fait trembler l'UE, la France et l'Allemagne lui rétorquant un cinglant "et alors ?". Depuis, Meta a précisé qu'il n'a aucune intention de quitter l'Europe.
"Il est intéressant de noter que les différentes autorités de protection des données européennes arrivent toutes à la même conclusion : l'usage de Google Analytics est illégal", a salué Max Schrems, fondateur de NOYB, dans un communiqué.
Au total, l'ONG a déposé 101 plaintes en Europe contre des responsables de traitement transférant des données personnelles, récoltées par Google Analytics ou son homologue Facebook Connect.
L'ONG avait ouvert la voie à ces procédures en arrachant en juillet 2020 l'invalidation de l'accord sur le transfert des données personnelles vers les États-Unis (appelé Privacy Shield) par la Cour de justice de l'Union européenne (CJUE).
Sujets les + commentés