FR EN

Toute l'actualité d'Altij

17.12.2024 14:55

Altij & Oratio Avocats récompensé lors du tout premier Palmarès du Droit de Toulouse

Le cabinet Altij & Oratio avocats récompensé lors du Palmarès du Droit 2024

Lauréat du Prix du cabinet le plus innovant et plusieurs distinctions majeures, Altij & Oratio...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< NOTRE FONDATRICE FRANCE CHARRUYER PARTICIPERA À LA RENCONTRE DU NOUVEL AN DE LA CHAMBRE FRANÇAISE DE GRANDE BRETAGNE
15.02.2022 15:46 Il y a: 3 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Veille Juridique

AFFAIRE GOOGLE ANALYTICS : QUELLES CONSÉQUENCES POUR MON SITE INTERNET ?


La mise en demeure d’un gestionnaire de site Web pour avoir utilisé Google Analytics marque un durcissement du positionnement de la CNIL vis-à-vis des transferts de données vers les États-Unis.

 

En effet, la CNIL indique :

  1. Que l’utilisation de Google Analytics implique un transfert de données à caractère personnel vers les États-Unis, et
  2. Que ces transferts sont « illégaux » car insuffisamment encadrés.

Compte tenu de l’utilisation très largement répandue de Google Analytics par les gestionnaires de sites Internet en France, cette décision de la CNIL est susceptible d’avoir des conséquences directes pour un grand nombre d’organismes tous secteurs confondus.  

 

Contexte

Cette annonce de la CNIL s’inscrit dans une tendance européenne vers un contrôle plus strict des transferts de données personnelles.

 

Ainsi, dans son désormais célèbre arrêt Schrems II de juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé la charte « Privacy Shield », qui permettait des transferts de données personnelles vers des entreprises américaines adhérentes.

 

En substance, la Cour a considéré que les autorités de renseignement américaines avaient trop d’accès aux données personnelles des citoyens européens transférées aux États-Unis et que le Privacy Shield ne permettait d’encadrer cette ingérence.

 

De plus, la CJUE a imposé de nouvelles conditions pour les organismes souhaitant fonder leurs transferts sur les « Clause contractuelles types » (CCT). Il s’agit d'un contrat type signé entre un exportateur de données situé en Europe et l’importateur dans un pays tiers, par lesquels l’importateur s’engage à respecter un niveau approprié de protection des données transférées.

 

Or, dans l’arrêt Schrems II, la CJUE a jugé que les CCT ne permettaient pas de lier les autorités du pays tiers, puisque ces dernières n'étaient pas parties au contrat.

 

Par conséquent, selon l’arrêt Schrems II, si le responsable du traitement souhaite se fonder sur les CCT pour faire un transfert, il lui appartient :

 

  1. De réaliser une évaluation du niveau de protection dans le pays destinataire et,
  2. Le cas échéant, adopter des « mesures supplémentaires » pour assurer le respect du niveau de protection requis par le droit européen, peut être nécessaire.

Pour revenir à la problématique spécifique de Google Analytics, cet outil fait l’objet d’une attention particulière de la part des militants de la protection de la vie privée.

 

En effet, l’association NOYB (None of your business) a lancé des plaintes contre une centaine d’organisations européennes qui utilisent Google Analytics et / ou Facebook Connect sur leurs sites. L’association considère que la signature des CCT avec Google ou Facebook, selon le cas, ne peut justifier le transfert si le destinataire aux États-Unis est soumis aux lois de surveillance américaines.

 

Dans son annonce du 10 février, la CNIL partage cette analyse. Elle considère que, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

 

Par conséquent, les transferts de données personnelles vers les États-Unis dans ce contexte violent le RGPD et sont « illégaux ».  

 

En conclusion, la CNIL met en demeure le gestionnaire du site de mettre en conformité ses traitements :

  • Soit en cessant d’avoir recours à la fonctionnalité Google dans les conditions actuelles ;
  • Soit en ayant recours à un outil n’entrainant pas de transfert hors UE.

 

Par ailleurs, la CNIL n’est pas la seule autorité européenne à agir en ce sens. Ainsi, dans une décision du 13 janvier 2022, l’autorité autrichienne de protection des données a considéré que Google Analytics n’était pas conforme au RGPD, malgré le recours au mécanisme des CCT.

 

Impacts pour les gestionnaires de site Web

Dans ce contexte, il appartient aux gestionnaires de site Internet en France de décider si, dans ce contexte, ils entendent maintenir l’utilisation de Google Analytics, et sous quelles conditions.

 

À cet égard, la CNIL n’a pas rendu publique la mise en demeure, ce qui aurait pourtant permis d’accéder à son raisonnement détaillé. Se pose notamment la question de la possibilité (ou l’impossibilité) de mettre en place des mesures techniques et / ou paramétrages permettant de renforcer la sécurité des transferts de données réalisé, voire de les éviter.

 

À défaut de pouvoir assurer une utilisation compliante de Google Analytics, les responsables de traitement sont potentiellement dans l’obligation de chercher des solutions plus RGPD-compatibles.

 

D’autres solutions concernées

Il convient de garder à l’esprit que cette position se rapporte ce jour à Google Analytics mais que la problématique concerne l’ensemble des outils susceptibles d’engendrer des transferts de données hors de l’Union européenne.

 

En l’occurrence, les plaintes déposées par NOYB concernaient tant Google Analytics que Facebook Connect.

 

Dans ce contexte, il convient d'effectuer un recensement de l’ensemble des outils utilisés, cartographier ceux susceptibles d’engendrer des transferts hors de l’Union européenne, identifier les garanties mises en place aux fins de procéder aux transferts et le cas échéant solliciter des mesures de sécurité complémentaires - voire, plus radicalement, de changer de solution.

 

En effet, les mesures appropriées de sécurité varieront selon la nature de la solution déployée et les garanties que le fournisseur est en mesure de présenter.

 

En tout état de cause, la CNIL indique sur son site que d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics. L’on note à cet effet que l’association InterHop a indiqué, le 29 janvier 2022, avoir saisi la CNIL s’agissant de l’utilisation, par de nombreux acteurs de la e-santé, de l’outil Google Analytics.

 

PÔLE DATA

 
Les avocats de notre Pôle Data se tiennent à votre disposition afin de vous accompagner dans la revue de vos transferts de données hors UE.

 

Nous contacter