Actualités

“La CNIL estime que ces transferts sont illégaux” : pour non-conformité au RGPD, le régulateur met en demeure un site Web !

A nouveau, le régulateur français tranche dans le vif du sujet de la donnée collectée en s’attaquant, cette fois, à l’usage de Google Analytics : selon la CNIL, alors-même que l’outil est utilisé depuis des décennies (ce qui implique, déjà à l’époque et outre un règlement européen, sécuritairement, une faille juridique potentielle dans la gestion de la donnée), le RGPD soulève aujourd’hui une non-conformité de l’usage de la donnée collectée ou plutôt de son transfert.

 

 

Si, pour l’heure, aucune information sur ce fameux “gestionnaire de site Web“, la mise en demeure a été enclenchée des suites d’un dépôt de plainte de l’association NOYB : 101 réclamations (faisant référence à “101 responsables de traitement”) remettaient en question la méthodologie de transfert des données collectées (articles 44 et suivants) entre la France ou les pays Européens (27 + 3 Etats-membres de l’EEE) vers les Etats-Unis. En cause principale, le régulateur évoque un “risque” d’exploitation de ces données par des services de renseignement outre-Atlantique : “la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés“.

Dans d’autres termes et faute, vraisemblablement, de discussions ou d’accord entre les deux nations (Etats-Unis + Europe dont France) pour tenter d’harmoniser les politiques de transfert de la donnée et assimilées à ce niveau, l’heure semble à la régulation ferme. En effet, il est estimé que ces transferts de données ne sont pas “suffisamment encadrés” du côté des Etats-Unis. Certes, la CNIL reconnaît les efforts de Google en matière de transparence mais étant donné que le service découle de son pays (les Etats-Unis, donc) et que ce dernier semble (?) pour l’heure du moins ne pas être enclin à assouplir ou adapter certaines lois ou politiques pour avoir un transfert de la donnée selon les termes du RGPD, la CNIL a choisi de se tourner vers les gestionnaires de site en recommandant “si nécessaire” de ne pas utiliser Google Analytics. Concernant les fameuses réclamations, on retrouve de nombreux groupes ou entreprises comme Sephora, Auchan, Banque et Caisse d’Epargne de l’Etat, Université du Luxembourg, Freepik.

 

Derrière cette mise en demeure réside, en réalité, une volonté de pouvoir anonymiser la donnée (analytique), ce qui permettrait à un site de ne plus proposer, éventuellement, le fameux bandeau de consentement, du moins, pour cette partie. En effet, dès lors qu’aucune donnée collectée ne peut pointer ou identifier un internaute (ce que fait Google Analytics avec un ID, notamment) alors il n’y aurait plus besoin du bandeau de consentement. Bien évidemment, nul doute que de très nombreux administrateurs de site n’ont pas attendu que la CNIL propose des alternatives à Analytics pour déjà actualiser leur solution en la matière : il aurait été souhaitable, toutefois, de pouvoir le faire avec plus de sérénité et non en prétextant une ex-filtration de données à des fins de renseignements (quid, une fois de plus, des années avant le RGPD où cela restait, alors possible…) qui reste probable – et non-pas que vers les Etats-Unis – mais, alors, latente, à la vue du nombre d’années d’utilisation de Google Analytics qui décompte, dans le monde, des milliards d’utilisateurs.

Il est déjà annoncé que l’enquête en cours de la CNIL concerne “d’autres outils” similaires (analytiques) “par des sites” et que des “mesures correctrices” seront “prochainement” envisageables. Quand au “gestionnaire de site“, celui-ci a un mois pour redresser la situation. Gageons que l’assiduité de la CNIL s’étendra sur un autre sujet : l’accessibilité-site avec les fameux cookie-wall que certains sites Web imposent (payer un petit quelque chose pour accéder au site ou consentir à l’ensemble des cookies), pour l’heure, dans le flou juridique ou éthique le plus total… A suivre !

 

 

Source : CNIL – 10 Février 2022 – Google Analytics : mise en demeure d’un “gestionnaire de site Web” pour non-conformité du RGPD (transfert-donnée vers Etats-Unis).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6