Skip to main content

La France est le dernier pays à déclarer illégal Google Analytics

    Un peu plus d'une semaine après que l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a annoncé sa décision sur l'illégalité de Google Analytics dans le cadre de l'affaire Schrems II, la Commission nationale de l'informatique et des libertés (CNIL), organisme de surveillance de la protection des données en France, est devenue le premier pays à lui emboîter le pas.

    Bien qu'il ne s'agisse pas d'un effet boule de neige totalement imprévisible de la décision initiale de l'ORD, la rapidité de l'annonce de la CNIL semble indiquer qu'il s'agit d'une situation qui va continuer à évoluer rapidement.

    D'autres pays, dont la Norvège, s'acheminent déjà vers la même conclusion, le développement rapide des listes d'alternatives à Google Analytics suggérant que nous sommes à l'aube d'une phase de transformation du secteur de l'analyse web.

    En violation de l'article 44

    La décision de la CNIL est une réplique exacte de celle qui l'a précédée en Autriche, la décision découlant de l'invalidation du Privacy Shield américain et du flot de plaintes qui a suivi.

    Pour situer le contexte, l'article 44 du GDPR concerne le "transfert de données à caractère personnel qui font l'objet d'un traitement ou sont destinées à être traitées après leur transfert vers un pays tiers".

    Les États-Unis n'ayant pas de lois sur la confidentialité des données considérées comme conformes au GDPR, cela signifie simplement que toute donnée protégée qui se retrouve sur des serveurs américains est considérée comme un risque. Ainsi, toute plateforme qui transfère des données de l'UE vers les États-Unis est fondamentalement considérée comme non conforme.

    Que pourrait-il se passer ensuite et que devez-vous faire ?

    De nombreux experts qualifient déjà cette situation de "début de la fin" pour Google Analytics en Europe et certains suggèrent que cela pourrait conduire à terme à une industrie technologique démondialisée.

    Comme nous l'avons mentionné, la Norvège est le dernier pays à avoir publié une déclaration similaire sur la question et il est fort probable que de nombreux autres pays se joindront à eux dans les semaines à venir.

    Bien que les derniers développements semblent assez importants, pour ceux qui connaissent le GDPR et l'abus de ses principes de base par un certain nombre d'entreprises, la situation était inévitable depuis un certain temps.

    Avec la boule de neige qui s'accélère, il serait sage pour toute entreprise qui tombe sous le coup du GDPR d'évaluer sa technologie actuelle, ses pratiques de traitement des données et ses politiques de confidentialité, afin de s'assurer qu'elle n'est pas prise dans l'avalanche.

    En savoir plus sur la décision de la CNIL => https://go2page.org/620a0467b8fb5