L’arrêt Schrems II du 16 juillet 2020 invalidant la décision d’adéquation permettant la libre circulation des données entre l’Union Européenne et les États-Unis (le Privacy Shield) continue à faire ressentir ses conséquences.
Le 10 février 2022, la CNIL a estimé que Google Analytics, le très populaire outil de mesure d’audience, n’est pas conforme au RGPD. La CNIL a considéré que :
- les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens par les autorités américaines ;
- les données d’internautes européens sont donc transférées illégalement de l’Union Européenne vers les États-Unis par le biais de cet outil.
En conséquence, les utilisateurs de cet outil s’exposent à des sanctions. La CNIL a adressé des courriers de mise en demeure à des gestionnaires de sites internet leur ordonnant de se mettre en conformité dans un délai d’un mois.
Pour éclairer les utilisateurs de Google Analytics sur les solutions de mise en conformité, la CNIL a publié un guide pratique, synthétisé dans le schéma ci-dessous, et une foire aux questions.
Les gestionnaires de sites internet ayant recours à Google Analytics disposent désormais de trois solutions :
- Utiliser un proxy en le configurant de sorte à garantir l’absence de réidentification des personnes concernées,
- Utiliser des solutions alternatives à Google Analytics et conformes au RGPD. Pour aider les gestionnaires, la CNIL a publié une liste des solutions alternatives qu’elle a évaluées et qui peuvent être conformes lorsqu’elles sont correctement configurées et/ou,
- Attendre le prochain accord de transfert de données entre l’Union Européenne et les États-Unis, annoncé pour le premier trimestre 2023 et censé tirer les enseignements de l’arrêt Schrems II.