La Commission nationale de l’informatique et des libertés déclare qu’elle considère les transferts de données européennes effectués par Google Analytics vers les Etats-Unis comme illégaux. La Cnil estime en effet que Google Analytics contrevient aux articles 44 et suivants du règlement général sur la protection des données (RGPD). Elle recommande que ces outils ne soient utilisés que pour produire des données statistiques anonymes. Cela pourrait mettre un terme à l’usage en France de l’un des logiciels d’analyse d’audience web les plus utilisés au monde (80% du marché).
Cette décision est également susceptible de se répercuter dans toute l’Union Européenne car la Cnil a affirmé qu’elle avait pris cette mesure en coopération avec ses homologues européens chargés de la protection des données. Cela fait écho à la décision prise par l’Autriche le 13 janvier dernier qui considère désormais Google Analytics comme ‘indésirable’.
Le défenseur autrichien de la vie privée Maximilian Schrems, à l’origine de l’enquête de la Cnil, se réjouit de cette mesure : « À long terme, soit nous avons besoin de protections appropriées aux États-Unis, soit nous finirons par avoir des produits distincts pour les États-Unis et l’UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain, et non de qui que ce soit dans [l’UE]. »
Rappelons que les États-Unis ne disposent toujours pas de lois de protection des données de type européen empêchant le transfert de données personnelles d’entreprises vers les services de police et d’espionnage américains.