Quinze jours après l’autorité autrichienne, la Cnil française a suivi la même voie et mis en demeure un «gestionnaire de sites» dont elle n’a pas dévoilé le nom, pour son utilisation de Google Analytics. Selon elle, l’outil de Google ne respecte pas suffisamment le RGPD, notamment du fait du transfert des données sur des serveurs d’entreprises américaines. La Cnil avait été saisie, comme en Autriche, par l’association None Of Your Business, menée par Max Schrems, qui était déjà à l’origine de l’invalidation du Privacy Shield en 2020 le texte juridique qui encadrait le transfert des données outre-Atlantique. Cette invalidation était depuis nommée l’arrêt Schrems II.
Selon nos informations, les sites internet visés par la plainte étaient Sephora, Auchan, Leroy-Merlin, Decathlon et le Huffington Post. L'un dentre eux a été mis en demeure, cette fois, mais d'autres procédures sont en cours, indique la Cnil.
Cette décision pourrait avoir de nombreuses conséquences pour le web, sachant que la quasi totalité des sites internet utilisent Google Analytics. « La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles », indique-t-elle dans sa décision. Le gendarme du web avait à coeur de se positionner sur ce débat, sachant que son avis pourrait augurer une position globale au niveau européen. « Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) », précise-t-elle. Et l’interprétation française pourrait faire domino. Ce qui poserait de nombreuses questions aux entreprises qui utilisent des services américains.
Déjà, Meta pointe du doigt depuis plusieurs années dans son rapport financier le danger que représente un changement de législation des transferts de données sur ses services en Europe. Au point de peut-être devoir les supprimer. Mais in fine, ce serait aussi des milliers d’entreprises européennes qui seraient également touchées, et devraient trouver une nouvelle solution.
Le transfert de données aux Etats-Unis est problématique dans le sens où il doit prévenir le risque que les services de renseignement américains accèdent aux données personnelles transférées. C’est pour ça qu’un cadre juridique comme le Privacy Shield était mis en place. Pas assez fort, selon les autorités. Mais depuis, aucun autre texte encadrant les transferts n’a été mis en place. Google a d’ailleurs appelé à un accord juridique clair entre les deux territoires, qui n’a toujours pas eu lieu.
