🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Google Analytics : la CNIL s'explique sur les mises en demeure

12 juin 2022 à 15h00
6
Google Analytics

Le 10 février dernier, la Commission nationale de l’Informatique et des Libertés (CNIL) avait envoyé une première mise en demeure au gestionnaire d'un site web - qui reste anonyme - en raison de son utilisation supposée illégale de Google Analytics

Pour rappel, Google Analytics est un outil accessible gratuitement par les entreprises présentes en ligne. L'interface permet d'accéder à des statistiques détaillées sur le trafic d'un site web. Pour cela, Google recueille les données de chaque internaute en lui attribuant un identifiant unique. Problème : les données des utilisateurs sont transférées puis stockées aux États-Unis, où elles seraient insuffisamment protégées. Cela va à l'encontre des règles du RGPD - le règlement qui encadre le traitement des données au niveau européen. Voilà ce qui a récemment poussé la CNIL à envoyer des mises en demeure à plusieurs organismes basés en France. Aujourd'hui, elle explique sur son site internet les raisons qui l'ont conduite à prendre ces décisions. 

Une centaine de plaintes dans toute l'Europe

Il est probable que cette affaire n'ait pas vu le jour sans l'action d'une association, NOYB (None Of Your Business), qui milite depuis 2017 pour la défense de la vie privée en Europe. Initialement créée par Max Schrems, un avocat autrichien, elle est devenue très active dans l'Union européenne. 

En août 2020, NOYB a déposé 101 plaintes auprès des autorités de protection des données européennes - notamment la CNIL - du fait de l'utilisation de Google Analytics par certaines entreprises. 

Un délai d'un mois pour se mettre en conformité

Dans sa première mise en demeure du 10 février, rendue publique, la CNIL justifie sa décision en estimant que « les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ». Cela va donc à l'encontre des règles du RGPD. De ce fait, les données de ces internautes sont considérées comme étant transférées de manière illégale par le biais de Google Analytics. 

Les entreprises mises en demeure disposent toutefois d'un délai d'un mois (renouvelable) pour se mettre en conformité. Si l’organisme ne répond pas au courrier dans le délai imparti ou que ses actions ne répondent toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à son encontre.

Source : CNIL

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
6
Oldtimer
J’espère que la sanction sera à la hauteur des gains que permet cette collecte de données…
Maxime.TE
La CNIL ferait mieux de se préoccuper des plaintes des citoyens. Je l’ai contactée par rapport au fait que Deliveroo s’était autorisé à conserver mon numéro de téléphone malgré la suppression de compte. Et un an après ma plainte, j’ai reçu une réponse de la CNIL indiquant qu’elle ne voyait pas le problème.
MattS32
Maxime.TE:<br /> Et un an après ma plainte, j’ai reçu une réponse de la CNIL indiquant qu’elle ne voyait pas le problème.<br /> Et elle a raison. Le RGPD autorise à conserver certaines données pendant un certain temps après la fermeture d’un compte quand c’est nécessaire pour défendre les intérêts légitimes de l’entreprise.<br /> En l’occurrence, entrent dans ces intérêts légitimes le fait de pouvoir distinguer un vrai nouveau client d’un ancien client qui revient, pour éviter que les gens n’abusent des offres promotionnelles réservées aux nouveaux clients.<br /> C’est dommage, parce que techniquement ça pourrait en fait se faire sans le conserver (il suffit d’en conserver un hash), mais le fait est que c’est autorisé.
Mireilledu13
On est passé à une solution gratuite et référencée par la CNIL (Abla Analytics). Faut juste faire l’effort, mais après vraiment pas de différence.
Maxime.TE
Elle a probablement raison. Je m’étonne justement qu’une telle exception si large soit possible. Elle rend de fait caduque tous le bazar parce qu’il suffit alors à une entreprise de faire valoir son « intérêt légitime » à conserver mes données pour qu’elle n’en fasse qu’à sa tête en toute impunité. Le RGPD m’apparait alors surtout comme un écran de fumée, s’il est si facilement contournable.<br /> Je m’étonne d’autant plus de cette connivence qu’il s’agit d’une entreprise étrangère, spécialisée dans l’exploitation des failles du systèmes de la micro-entreprise.
lnho
Il y a aussi la solution Matomo comme alternative intéressante et recommandée.
MattS32
Maxime.TE:<br /> ’il suffit alors à une entreprise de faire valoir son « intérêt légitime » à conserver mes données pour qu’elle n’en fasse qu’à sa tête en toute impunité<br /> Non, elle n’en fait pas qu’à sa tête. Déjà il faut que cet intérêt légitime soit justifié. Tu peux pas le faire en disant juste « j’ai un intérêt à le faire ».<br /> Ensuite, il faut aussi que ça soit proportionné. Conserver un numéro de téléphone pendant un ou deux ans pour éviter que quelqu’un profite à nouveau d’une promotion « nouveau client », c’est proportionné. Conserver nom, prénom, adresse, mail, téléphone, date de naissance, numéro de sécu, copie de la carte d’identité pendant dix ans pour le même motif, ce n’est pas proportionné.<br /> Maxime.TE:<br /> Je m’étonne d’autant plus de cette connivence qu’il s’agit d’une entreprise étrangère, spécialisée dans l’exploitation des failles du systèmes de la micro-entreprise.<br /> L’activité d’une entreprise n’a pas à entrer en ligne de compte dans l’évaluation de son respect ou non du RGPD.
Maxime.TE
Cette notion d’intérêt légitime est trop floue, et la proportionnalité ne la rend pas moins imprécise. Conserver un numéro de téléphone pendant un an, simplement pour éviter que les personnes bénéficient d’une promotion n’est pas proportionné. Ce que je critique c’est justement le fait que la CNIL considère comme acceptable cette conservation.<br /> On est d’accord que c’est subjectif, que s’est laissé à l’appréciation. M’enfin, c’est là tout le problème. A mon sens, on ne peut pas s’enorgueillir d’un règlement vendue comme presque une avancée gigantesque, tout en laissant des possibilités de le contourner aussi simplement.
Voir tous les messages sur le forum

Lectures liées

Soldes NordVPN : cette offre sur ce VPN est tout simplement incroyable !
Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Le spyware Pegasus a été utilisé dans au moins 5 pays de l'UE
Pour les soldes d'été, NordVPN baisse le prix de son VPN, mais pas que !
Haut de page