Les transferts de données personnelles vers les États-Unis
Depuis la décision de la CJUE, Schrems II, du 16 juillet 2020, par laquelle la CJUE a invalidé le Privacy Shield, les transferts de données personnelles vers les États-Unis sont considérés comme ne garantissant pas une protection suffisante au regard du RGPD.
En effet, le Privacy Shield était un mécanisme développé par les États-Unis afin de garantir une sécurité des données personnelles, qui avait été validé par la Commission Européenne comme offrant une protection adéquate. Cet accord matérialisait une décision d’adéquation entre la protection offerte par les États-Unis et celle conférée par le RGPD, de sorte que les transferts de données vers les États-Unis étaient facilités.
Or, ce dispositif a été invalidé par la CJUE, car la législation américaine permet à certaines autorités publiques américaines d’accéder à ces données personnelles. Cette disposition contrevient donc au principe de limitation du traitement à une finalité.
Réclamation déposée par l’association NOYB :
Suite à l’invalidation du mécanisme du Privacy Shield par la CJUE, les transferts vers les États-Unis ont été fortement compromis et devront répondre à des exigences de garanties de protection.
L’association NOYB, dirigé par M. Schrems, activiste renommé en protection des données personnelles, a déposé des réclamations auprès de plusieurs États Membres considérant que les transferts de données opérés par Google Analytics vers les États-Unis ne respectent pas la réglementation européenne. En effet, les autorités américaines peuvent avoir accès à ces données et ce sans le consentement des intéressés.
En étudiant les conditions de traitement des données par Google Analytics, la Cnil a constaté que les mesures relatives à la protection des données prises par la plateforme sont insuffisantes et qu’elles n’empêchent pas les autorités américaines d’accéder aux données.
Par conséquent, la Cnil a mis en demeure les gestionnaires français utilisant de tels services à se mettre en conformité à la règlementation dans un délai d’un mois. Mais la Cnil ne donne pas d’autres solutions concrètes que l’arrêt de l’utilisation de Google Analytics puisqu’elle conseille : soit d’arrêter d’utiliser Google Analytics, soit d’utiliser un autre logiciel n’engendrant pas de transfert hors de l’Union Européenne. Dans les deux cas, la Cnil dissuade de recourir aux services de la plateforme de Google.
Un traitement de données anonymisées sans reccueil du consentement :
Les traitements de données à caractère personnel peuvent, sous certaines conditions, être opérés sans le consentement des personnes concernées.
Parmi les services de Google Analytics, les outils de mesures d’audience sont basés sur des données anonymisées qui permettent le traitement de données sans le recueil du consentement. Mais le processus d’anonymisation doit être irréversible et le responsable de traitement doit s’assurer qu’il n’y a pas de transferts illégaux de données à caractère personnelles. Face à cette utilisation importante de processus d’anonymisation des données, notamment par Google Analytics, la Cnil a annoncé entreprendre des évaluations pour s’assurer de leur conformité au RGPD.
Sources :
- https://www.usine-digitale.fr/article/la-cnil-dit-non-a-l-utilisation-de-google-analytics.N1783687
- https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure
- Illustration : Canva