Google Analytics : la CNIL s'explique sur les mises en demeure

Sylvain Guillet
12 juin 2022 à 15h00
6
Google Analytics

Le 10 février dernier, la Commission nationale de l’Informatique et des Libertés (CNIL) avait envoyé une première mise en demeure au gestionnaire d'un site web - qui reste anonyme - en raison de son utilisation supposée illégale de Google Analytics

Pour rappel, Google Analytics est un outil accessible gratuitement par les entreprises présentes en ligne. L'interface permet d'accéder à des statistiques détaillées sur le trafic d'un site web. Pour cela, Google recueille les données de chaque internaute en lui attribuant un identifiant unique. Problème : les données des utilisateurs sont transférées puis stockées aux États-Unis, où elles seraient insuffisamment protégées. Cela va à l'encontre des règles du RGPD - le règlement qui encadre le traitement des données au niveau européen. Voilà ce qui a récemment poussé la CNIL à envoyer des mises en demeure à plusieurs organismes basés en France. Aujourd'hui, elle explique sur son site internet les raisons qui l'ont conduite à prendre ces décisions. 

Une centaine de plaintes dans toute l'Europe

Il est probable que cette affaire n'ait pas vu le jour sans l'action d'une association, NOYB (None Of Your Business), qui milite depuis 2017 pour la défense de la vie privée en Europe. Initialement créée par Max Schrems, un avocat autrichien, elle est devenue très active dans l'Union européenne. 

En août 2020, NOYB a déposé 101 plaintes auprès des autorités de protection des données européennes - notamment la CNIL - du fait de l'utilisation de Google Analytics par certaines entreprises. 

Un délai d'un mois pour se mettre en conformité

Dans sa première mise en demeure du 10 février, rendue publique, la CNIL justifie sa décision en estimant que « les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ». Cela va donc à l'encontre des règles du RGPD. De ce fait, les données de ces internautes sont considérées comme étant transférées de manière illégale par le biais de Google Analytics. 

Les entreprises mises en demeure disposent toutefois d'un délai d'un mois (renouvelable) pour se mettre en conformité. Si l’organisme ne répond pas au courrier dans le délai imparti ou que ses actions ne répondent toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à son encontre.

Sur le même sujet :
RGPD : la CNIL met en demeure 22 communes et les somme de se doter d'un DPO

Source : CNIL

Sylvain Guillet

Sylvain Guillet

J'écris avec mon coeur et j'enquête avec ma tête pour fournir à mes lecteurs une information irréprochable. Mes spécialités ? La Tech et les nouvelles tendances du digital, source inépuisable d'étoile...

Lire d'autres articles

J'écris avec mon coeur et j'enquête avec ma tête pour fournir à mes lecteurs une information irréprochable. Mes spécialités ? La Tech et les nouvelles tendances du digital, source inépuisable d'étoiles dans mes yeux.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (6)

Oldtimer
J’espère que la sanction sera à la hauteur des gains que permet cette collecte de données…
Maxime.TE
La CNIL ferait mieux de se préoccuper des plaintes des citoyens. Je l’ai contactée par rapport au fait que Deliveroo s’était autorisé à conserver mon numéro de téléphone malgré la suppression de compte. Et un an après ma plainte, j’ai reçu une réponse de la CNIL indiquant qu’elle ne voyait pas le problème.
MattS32
Maxime.TE:<br /> Et un an après ma plainte, j’ai reçu une réponse de la CNIL indiquant qu’elle ne voyait pas le problème.<br /> Et elle a raison. Le RGPD autorise à conserver certaines données pendant un certain temps après la fermeture d’un compte quand c’est nécessaire pour défendre les intérêts légitimes de l’entreprise.<br /> En l’occurrence, entrent dans ces intérêts légitimes le fait de pouvoir distinguer un vrai nouveau client d’un ancien client qui revient, pour éviter que les gens n’abusent des offres promotionnelles réservées aux nouveaux clients.<br /> C’est dommage, parce que techniquement ça pourrait en fait se faire sans le conserver (il suffit d’en conserver un hash), mais le fait est que c’est autorisé.
Mireilledu13
On est passé à une solution gratuite et référencée par la CNIL (Abla Analytics). Faut juste faire l’effort, mais après vraiment pas de différence.
Maxime.TE
Elle a probablement raison. Je m’étonne justement qu’une telle exception si large soit possible. Elle rend de fait caduque tous le bazar parce qu’il suffit alors à une entreprise de faire valoir son « intérêt légitime » à conserver mes données pour qu’elle n’en fasse qu’à sa tête en toute impunité. Le RGPD m’apparait alors surtout comme un écran de fumée, s’il est si facilement contournable.<br /> Je m’étonne d’autant plus de cette connivence qu’il s’agit d’une entreprise étrangère, spécialisée dans l’exploitation des failles du systèmes de la micro-entreprise.
lnho
Il y a aussi la solution Matomo comme alternative intéressante et recommandée.
MattS32
Maxime.TE:<br /> ’il suffit alors à une entreprise de faire valoir son « intérêt légitime » à conserver mes données pour qu’elle n’en fasse qu’à sa tête en toute impunité<br /> Non, elle n’en fait pas qu’à sa tête. Déjà il faut que cet intérêt légitime soit justifié. Tu peux pas le faire en disant juste « j’ai un intérêt à le faire ».<br /> Ensuite, il faut aussi que ça soit proportionné. Conserver un numéro de téléphone pendant un ou deux ans pour éviter que quelqu’un profite à nouveau d’une promotion « nouveau client », c’est proportionné. Conserver nom, prénom, adresse, mail, téléphone, date de naissance, numéro de sécu, copie de la carte d’identité pendant dix ans pour le même motif, ce n’est pas proportionné.<br /> Maxime.TE:<br /> Je m’étonne d’autant plus de cette connivence qu’il s’agit d’une entreprise étrangère, spécialisée dans l’exploitation des failles du systèmes de la micro-entreprise.<br /> L’activité d’une entreprise n’a pas à entrer en ligne de compte dans l’évaluation de son respect ou non du RGPD.
Maxime.TE
Cette notion d’intérêt légitime est trop floue, et la proportionnalité ne la rend pas moins imprécise. Conserver un numéro de téléphone pendant un an, simplement pour éviter que les personnes bénéficient d’une promotion n’est pas proportionné. Ce que je critique c’est justement le fait que la CNIL considère comme acceptable cette conservation.<br /> On est d’accord que c’est subjectif, que s’est laissé à l’appréciation. M’enfin, c’est là tout le problème. A mon sens, on ne peut pas s’enorgueillir d’un règlement vendue comme presque une avancée gigantesque, tout en laissant des possibilités de le contourner aussi simplement.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Google Analytics : la CNIL s'explique sur les mises en demeure Google Analytics : la CNIL s'explique sur les mises en demeure
Google Analytics est-il illégal au regard du RGPD ? Tout ce qu'il faut savoir de la décision de la CNIL Google Analytics est-il illégal au regard du RGPD ? Tout ce qu'il faut savoir de la décision de la CNIL
RGPD : InterHop saisit la CNIL pour que les acteurs e-santé (Alan, Keldoc, Maiia…) arrêtent d’utiliser Google Analytics RGPD : InterHop saisit la CNIL pour que les acteurs e-santé (Alan, Keldoc, Maiia…) arrêtent d’utiliser Google Analytics
Google passera bientôt à la version 4 de sa plateforme Analytics, pour quels changements ? Google passera bientôt à la version 4 de sa plateforme Analytics, pour quels changements ?
RGPD : la CNIL met en demeure 22 communes et les somme de se doter d'un DPO RGPD : la CNIL met en demeure 22 communes et les somme de se doter d'un DPO