Les choses se compliquent pour Google Analytics. La CNIL vient de mettre en demeure plusieurs gestionnaires de sites web français pour leur utilisation du service de Google, qui permet d'obtenir tout un tas de statistiques sur l'utilisation de son site web ou de son application. Le problème vient du fait que des données personnelles sont traitées aux États-Unis, un pays qui n'offre pas une protection équivalente au RGPD européen. La CNIL estime donc que la façon dont les données des utilisateurs sont transférées vers les États-Unis est illégale. Elle impose à ces gestionnaires (dont les noms ne sont pas cités) de se conformer sous un mois aux réglementations européennes et de ne plus utiliser cet outil dans les conditions actuelles.
Cette décision fait suite à une opération de l'activiste Max Schrems et de son association NOYB. En 2020, le groupe a posé de multiples plaintes dans toute l'Europe visant des utilisateurs d'outils comme Google et Facebook Connect. 101 réclamations ont été déposées, visant 101 responsables de traitement qui transféraient des données personnelles vers les États-Unis à travers ces outils. En France, on trouve entre autres le Huffpost, Free mobile ou encore Décathlon et Auchan.
Transfert de données entre Europe et États-Unis : la Cour de justice de l'UE fait exploser le Privacy Shield
Les retombées ont commencé à se faire sentir dès le mois dernier pour Google. L'autorité autrichienne de protection des données avait estimé que l'utilisation de Google Analytics par un site traitant des données de santé ne respectait pas la RGPD. Plus précisément, il est considéré que le transfert d’informations vers les États-Unis, bien que pseudonymisé n'est pas suffisamment sécurisé : les données pourraient être récupérées par les services de renseignement américain. Les lois du pays de l'Oncle Sam exigent en effet que les fournisseurs de service laissent un accès aux données personnelles pour les autorités américaines.
Aujourd'hui, la CNIL s'accorde avec son homologue autrichien : l'utilisation de Google Analytics est potentiellement dangereuse, car « les transferts vers les États-Unis ne sont pas suffisamment encadrés ». Elle note qu'il existe un risque pour les internautes français surfant sur un site passant par la solution de Google. Elle demande donc aux gestionnaires mis en demeure de ne plus avoir recours à Google Analytics, ou de se tourner vers un outil qui n'entraîne pas de transfert en dehors de l'UE. Elle ajoute que des « mesures correctrices » pourraient être adoptées prochainement vis-à-vis d'autres outils similaires (sans doute Facebook Connect).