Derrière ce titre amusant, la réalité est moins rose. En effet, la CNIL vient de mettre en demeure un gestionnaire de site français, car il utiliserait Google Analytics et, à ce titre, transfèrerait des données aux Etats-Unis de façon illégale.
Google Analytics et RGPD
Le RGPD, c’est le Réglement Général sur la Protection des Données personnelles qui est entré en vigueur en mai 2016 et applicable depuis mai 2018. C’est en quelque sorte une loi européenne qui permet de protéger les données personnelles de tous les européens. Depuis l’application de ce réglement, nous avons pu voir fleurir des pop-ups nous demandant notre accord pour l’utilisation de cookies sur différents sites (comme celui que vous lisez actuellement).
En parallèle, Google Analytics est un service de Google qui permet de connaître l’audience sur un site, notamment l’origine géographique des visiteurs ou leur support (téléphone, ordinateur, tablette, …). Cet outil tombe sous le RGPD, puisque Analytics doit créer un cookie (qui est une donnée personnelle). Problème : Google est une entreprise américaine, et Analytics est très souvent installé sur des sites européens.
Et le transfert de données dans tout ça ?
L’entreprise californienne doit transférer toutes ces données sur le sol américain. Or, ce transfert est jugé comme illégal selon la CNIL. Cette dernière a « analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les Etats-Unis et quels étaient les risques encourus pour les personnes concernées ».
En d’autres mots : la politique de gestion des données personnelles aux Etats-Unis semble trop légère pour la CNIL, notamment sur le transfert quasi automatique de celles-ci aux services de renseignements américains.
Que va-t-il se passer ?
Le gestionnaire de sites mis en demeure par la CNIL a un mois pour corriger l’utilisation de Google Analytics (comprendre : trouver une alternative qui ne transfère pas les données en dehors de l’Union Européenne). Mais en réalité, c’est Google qui est clairement dans le viseur du gendarme du net.
Google a donc deux choix : ne rien faire ou se mettre en conformité. Mais les victimes collatérales de ce bras de fer est tous les utilisateurs européens de Google Analytics. En effet, la CNIL pour rendre son utilisation illicite, et donc tous les sites internets européenns devraient trouver une alternative qui respecte le RGPD.