Ce jeudi 10 février 2021, après de nombreux remous au niveau européen développés dans un de nos précédents articles, la CNIL a pris position concernant l’utilisation de Google Analytics par des éditeurs de sites web européens : les transferts hors Union Européenne qui sont opérés par le biais de cet outil ont été jugés illicites. Selon la CNIL, même si « Google a adopté des mesures supplémentaires pour encadrer les transferts » , ce n’est pas suffisant. « En l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues« . Ainsi, le Privacy Shield n’ayant pas été remplacé depuis son invalidation en juillet 2020, la CNIL interdit pour le moment presque purement et simplement l’utilisation de Google Analytics. Il revient à Google de prévoir des garanties pour sécuriser le transfert, en particulier pour « exclure la possibilité d’accès des services de renseignement américains aux données » (quitte à s’attirer les foudres des services de renseignement visés).
Cette décision est une nouvelle victoire pour l’association NOYB, à l’origine de 101 plaintes dans tous les États Membres sur cette problématique. Elle confirme également l’effet domino qui a été lancé par la décision prise il y a quelques semaines par l’autorité de protection des données autrichienne.
