Réponse : Lorsque DISNEY compte 101 DALMATIENS. GOOGLE compte 101 RECLAMATIONS à son encontre pour l’utilisation de Google Analytics sur des sites internet.
101, c’est le nombre de réclamations déposées par l’association NOYB (« My privacy is None of Your Business ») auprès des autorités de contrôle RGPD des 30 Etats membres de l’Union européenne et de l’espace économique européen.
Le sujet de ces plaintes ? L’utilisation de Google Analytics par 101 sites web.
Le problème soulevé ? Le transfert des données à caractère personnel vers les Etats Unis.
Pour l’association NOYB, la protection des données à caractère personnel des consommateurs est un combat de tous les jours. Son combat contre les transferts de données hors Union européenne ne respectant pas la réglementation actuelle ne date pas d’hier.
En effet, le 17 aout 2020, l’association a publié sur son site internet sa volonté de faire pression sur des acteurs européens et américains (en particulier les GAFAM) devant se conformer au RGPD, et a déposé les fameuses 101 réclamations.
Le dépôt de ces plaintes fait suite au fameux arrêt SHREMS II. Pour rappel, l’arrêt « SCHREMS II » de la Cour de Justice de l’Union européenne du 16 juillet 2020 a eu deux conséquences notoires :
- L’invalidation de la décision d’adéquation connue sous le nom de « Privacy Shield » qui autorisait en partie les transferts de données à caractère personnel depuis l’Union européenne vers les Etats Unis ; et,
- Une limite quant à l’utilisation des clauses contractuelles types de la Commission européenne (CCT). Pour l’expliquer simplement, si les CCT devaient être utilisées pour encadrer un transfert hors UE vers un importateur de données soumis à des lois de surveillance de masse pouvant limiter l’efficacité des CCT, alors des mesures supplémentaires devaient être mises en place pour assurer le niveau de protection de données requis.
Bien que la décision SCHREMS II n’interdise pas purement et simplement les transferts de données vers les Etats Unis, ces transferts doivent être encadrés de manière particulière. Cette protection a été mise en cause par l’association.
En effet, les plaintes déposées concernent les transferts de données hors UE vers les EU générés par l’utilisation de cookies comme Google Analytics ou Facebook Connect. Des entités comme Google ou Facebook se défendent en mettant en avant l’existence de « garanties appropriées » comme l’utilisation de clauses contractuelles types. Or si l’on creuse un peu, ce que la CNIL et ses homologues européens ont fait, on s’aperçoit assez vite que les encadrements mis en place ne sont pas, à priori, suffisants aujourd’hui.
Après une première sanction prononcée par l’autorité de contrôle autrichienne, la CNIL de pointe du doigt les mesures insuffisantes mises en place par Google. Elles ne permettent notamment pas d’exclure la possibilité d’accès des services de renseignements américains aux données à caractère personnel d’utilisateurs européens, engendrant ainsi un risque d’atteinte aux libertés et droits fondamentaux de ces derniers.
Alors comment se conformer aux exigences du RGPD pour le dépôt de cookies pouvant être à l’origine de transferts hors UE ?
La CNIL propose quelques recommandations :
- Cesser d’utiliser Google Analytics, tout simplement. Cette solution, certes radicale, limitera le transfert de données hors UE et simplifiera aussi les questions de consentement.
- Utiliser un outil qui n’entraîne pas de transferts hors UE, et pour les outils de mesure et d’analyse d’audience, elle recommande d’ailleurs d’utiliser des outils servant uniquement à produire des données statistiques anonymes, là encore, simplifiant les questions de consentement. Dans un article précédent, la CNIL proposait d’ailleurs une réflexion sur les alternatives aux cookies tiers.
Quand vous créez un site internet, ou mettez à jour un site déjà existant, vous devez désormais toujours vous poser les questions suivantes :
- Quels sont les cookies que j’utilise ?
- Est-ce que je transfère des données hors UE ?
- Est-ce que j’ai besoin du consentement des utilisateurs de mon site ?
Mais ne vous arrêtez pas à ces trois questions : assurez-vous que tous vos cookies et votre site internet soient bien respectueux du RGPD, de la directive ePrivacy, et des lignes directrices de la CNIL en matière de cookies.
N’oubliez pas, la CNIL et ses homologues européens vont continuer leurs contrôles des sites internet. Les 101 réclamations n’ont pas été traitées dans leur entièreté : après Google analytics, ce sera au tour des Facebook Connect d’être contrôlé.
N’attendez pas pour vous mettre en conformité !
Une question ? Besoin d’aide ? N’hésitez pas à nous contacter ou notre partenaire Actecil pour vous accompagner dans la mise en conformité de votre site internet !
Sources :
