Le service Google Analytics va-t-il être la prochaine victime de Max Schrems et de son association NOYB ? La Cnil vient de mettre en demeure plusieurs gestionnaires de sites web de cesser « d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE ». Le régulateur français laisse un mois à ces gestionnaires de se mettre en conformité. Dans un communiqué, il évoque le cas d’un gestionnaire en particulier sans citer de nom en particulier.
Cette décision intervient quelques semaines après la décision de la DSB (la Cnil autrichienne) de déclarer que l'utilisation de Google Analytics (analysant les audiences d'un site) violait le règlement général sur la protection des données (RGPD). Elle avait été saisie par l’association NOYB qui a porté une centaine de réclamations dans la quasi-totalité des Etats européens à la suite de la décision de la Cour de Justice de l’Union européenne d’annuler l’accord du Privacy Shield, qui remplaçait le Safe Harbor lui aussi invalidé. La décision arrive aussi quelques jours après la saisine de la Cnil par le collectif Interhop demandant l'arrêt de l'utilisation de Google Analytics dans le domaine de la e-santé.
Un risque persistant d’accès aux données des Européens
Au centre du problème soulevé par les deux autorités de contrôle européennes, les Etats-Unis ne garantissent pas aux citoyens européens des niveaux équivalents sur la protection de leurs données. Les régulateurs constatent que, sur Google Analytics, le fournisseur américain ne peut « exclure la possibilité d’accès des services de renseignements américains à ces données ». En conséquence, le service comporte un risque pour les utilisateurs des sites français ayant recours à cet outil et dont les données sont exportées. Les sites violent ainsi l’article 44 et suivant du RGPD relatif au principe général sur le transfert de données.
Lors de la décision autrichienne, Google avait réagi en expliquant, « Google Analytics aide les commerçants, les gouvernements, les ONG et de nombreuses autres organisations à comprendre à quel point leurs sites et applications fonctionnent pour leurs visiteurs - mais sans identifier des individus ou en les suivant sur le Web. Ce sont ces organisations, et non Google, qui contrôlent les données collectées avec les outils analytics et la manière dont elles sont utilisées ».
Cette affaire montre aussi l'urgence à trouver un accord entre l'UE et les Etats-Unis sur le transfert transatlantique des données. Les discussions avancent avec peut-être la possibilité pour les utilisateurs européens de pouvoir saisir la justice aux Etats-Unis en cas de problème. Une lueur d'espoir ?