Pourquoi l'utilisation de Google Analytics est jugée illégale par la France

C'est une décision importante pour la régulation des données personnelles des internautes français qui pourrait bousculer la plupart des sites Internet du pays. La Commission nationale de l'informatique et des libertés (Cnil) a annoncé la mise en demeure du gestionnaire d'un site Internet hexagonal (dont le nom n'a pas filtré) pour son utilisation de Google Analytics, un service gratuit proposé par Google pour mesurer la fréquentation des sites Web et optimiser leur trafic. Dans un communiqué publié ce jeudi 10 février, l'autorité estime que les transferts de données réalisés par l'outil statistique de Google des sites européens vers les États-Unis ne sont pas conformes à la réglementation européenne.

Cette décision fait suite à plusieurs plaintes déposées par l'organisation My Privacy is None of your Business (NOYB), une structure européenne cofondée par l'activiste autrichien Max Schrems qui se bat pour faire respecter le droit à la vie privée numérique. 

Ce juriste de 34 ans a déjà obtenu plusieurs décisions de justice défavorables aux géants de la Silicon Valley qui ont bouleversé le droit européen. En 2015, il obtenu devant la Cour de justice de l'Union européenne l'invalidation des accords Safe Harbor qui facilitaient le transfert des données des internautes européens vers les États-Unis. A l'été 2020, il fut encore à l'origine de l'invalidation du Privacy Shield, un texte qui permettait aux sociétés américaines de traiter les données des Européens avec un niveau de protection supposé équivalent à l'Europe en recourant à des prestataires certifiés aux États-Unis.

Un outil omniprésent sur Internet qui expose les internautes européens à la surveillance américaine

Saisie par l'association, qui avait déposé 101 plaintes en Europe, la Cnil a estimé que les conditions de transfert des données collectées par Google Analytics, faute d'encadrement, pouvaient exposer les utilisateurs français à des programmes de surveillance aux États-Unis. "Si Google a adopté des mesures supplémentaires pour encadrer les transferts (...) celles-ci ne suffisent pas à exclure la possibilité d'accès des services de renseignement américains à ces données", estime le régulateur. En clair, la Cnil considère que les données d'audience captées par Google Analytics courent le risque d'être réclamées par les autorités américaines au nom du Cloud Act, la loi fédérale qui autorise la saisie administrative de données d'entreprises américaines situées à l'étranger.

L'éditeur français mis en demeure dispose désormais d'un mois pour se conformer au règlement européen sur la protection des données (RGPD), en cessant d'utiliser l'outil de Google dans les conditions actuelles. Une fois passé ce délai, il pourra faire l'objet de sanctions. Google a aussi la possibilité d'effectuer des modifications pour se conformer aux exigences européennes. Sollicitée par RTL, l'entreprise américaine n'avait pas encore réagi au moment où était publié cet article.

Cette décision devait avoir un impact sur de nombreux sites Internet européens qui utilisent l'outil de Google pour surveiller leur audience, y compris ceux du service public. Comme le souligne le journaliste Emile Marzolf sur Twitter, Google Analytics est le tracker le plus utilisé sur les sites institutionnels français avec plus d'un tiers des sites publics recensés. Deux autres gestionnaires de sites français sont également visés par des plaintes pour son utilisation, a indiqué la Cnil à l'AFP. "Tous les acteurs sont invités à se poser la question" du recours à cet outil et "doivent se sentir alertés" par cette décision, a souligné une responsable de la Cnil. En creux, cette décision pousse les sociétés et organisations françaises à se tourner vers des solutions européennes.

Bras de fer entre l'Europe et les États-Unis

Cette mise en demeure marque un nouveau rebondissement dans le bras de fer qui oppose l'Europe et les États-Unis sur les transferts de données personnelles. Le 13 janvier dernier, une première décision de l'équivalent autrichien de la Cnil avait donné raison à l'association NOYB contre Google. Le groupe américain s'était alors efforcé de minimiser cette décision et avait appelé l'Union européenne et les États-Unis à négocier au plus vite un nouveau cadre juridique. 

L'évolution de l'encadrement juridique des transferts de données personnelles de l'Europe vers les États-Unis inquiète aussi Facebook, qui a évoqué dans un récent document adressé au gendarme boursier américain les difficultés que pourraient engendrer des traitements plus restrictifs pour son activité publicitaire. Plusieurs plaintes déposées par l'association NOYB en Europe visent aussi l'outil Facebook Connect proposé par le groupe de Mark Zuckeberg pour utiliser son compte sur le réseau social pour se connecter à d'autres sites Internet. La Cnil et ses homologues européens pourraient faire d'autres annonces prochainement.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info