07 Avr Google Analytics : Bonne nouvelle pour l’Europe et le RGPD

Google Analytics : Bonne nouvelle pour l’Europe et le RGPD

Le RGPD ou Règlement général sur la Protection des Données a une prévision de possibilité de transfert des données personnelles en dehors de l’Union européenne (UE).
La mise en œuvre de cette possibilité de transfert nécessite certaines conditions comme :

• Le respect des règles d’entreprise contraignantes (binding corporate rules, BCR),
• La prise de décisions adéquates de la Commission européenne,
• La mise en œuvre des garanties appropriées.

Quelques exceptions à l’interdiction de transferts de données

Si les principes ne sont pas respectés, l’interdiction de transférer des données est imposée. Mais il y a des exceptions prévisionnelles par l’article 49 du RGPD.

L’exception peut être exécutée quand :

• Le consentement de la personne est formel après avoir reçu des informations concernant les risques du transfert par rapport au transfert de données;
• La conclusion et l’exécution d’un contrat sont faites nécessairement par le transfert;
• L’exercice de droits en justice est utile pour le transfert;
• La sauvegarde des intérêts vitaux de la personne concernée ou pour les motifs importants d’intérêt public est également utile pour le transfert;
• L’opération du transfert est effectuée sur la base d’un registre qui établit des informations au public ou à toute personne justifiant d’un intérêt légitime.

Bref, il ne faut pas faire de répétition ni affecter un grand nombre de personnes. Il doit inclure les finitions des intérêts poursuivis par le responsable de traitement.

La mise en affirmation d’un gestionnaire de site web par la CNIL par l’utilisation de Google Analytics et de transferts de données vers les États-Unis

La CNIL a aperçu que les transferts de données collectées à partir de l’outil de transfert ne sont pas convenables.

Google Analytics est une fonctionnalité qui attribue à chaque visiteur son propre identifiant. Le transfert de cet identifiant unique et des données associées par Google est dirigé aux États-Unis.

Lord des visites des sites web qui exercent Google Analytics, plusieurs plaintes ont été adressées à ce transfert dirigé vers les États-Unis. Il y a 101 réclamations en totalité, qui ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen ou EEE à l’encontre de 101 responsables de traitement qui transfèreraient des données personnelles vers les États-Unis.

Effectuer une analyse au niveau européen

Une analyse des conditions dans lequel le transfert des données collectées pour l’emploi de Google Analytics, est fait par la CNIL pour coopérer avec ses homologues européens et pour situer les cours de risques des personnes concernées. Le Privacy Shield a été invalidé par l’arrêt Schrems II de la Cour de Justice de l’Union européenne (CJUE) du 16 juillet 2020 qui consiste à tirer des conséquences par rapport à cet arrêt. L’encadrement correct des transferts doit être respecté pour ne pas avoir de risque d’accès aux données personnelles. Ce risque a été avisé par la CJUE pour les transferts de données transférés aux États-Unis.

Les conséquences des transferts de données au niveau français

En ce moment, la CNIL a déterminé qu’il y a une insuffisance d’encadrement des transferts vers les États-Unis. Dans ce cas, des garanties appropriées doivent être considérées pour subvenir à cette absence adéquate pour les transferts vers les États-Unis, pour faire marcher le transfert de données.

Tandis que ce n’est pas le cas que la CNIL a constaté. Pour exclure la possibilité d’accès des services de renseignements américains à ces données, il faut que Google adopte des mesures supplémentaires pour l’encadrement des transferts de données et pour le fonctionnement de Google Analytics.

La présence de risque est possible pour les utilisateurs du site français, si elles ont recours à cet outil en exportant des données.

C’est en violant des règles sur l’article 44 et en suivant ceux du RGPD que la CNIL a aperçu les transferts de données des internautes effectués vers les États-Unis. Cette violation a remis en question la conformité du gestionnaire de site en traitant les données avec le RGPD. Par nécessité, il a même cessé d’employer le Google Analytics pour avoir recours à un outil qui n’entraîne pas de transfert hors UE. Le délai de se mettre en conformité pour le gestionnaire de site ne dure qu’un mois.

La recommandation de la CNIL est que ces outils ne servent que pour la production des données statistiques anonymes. Elle a imposé également qu’ils doivent permettre l’exemption consentie quand le responsable de traitement pourrait assurer un transfert règlementaire. La détermination des solutions exemptées de consentement a été lancée par la CNIL grâce à un programme d’évaluation.

Par ailleurs, la CNIL a déployé d’autres procédures de mises en demeure à l’encontre des gestionnaires de sites qui utilisent Google Analytics.

La répartition de l’enquête de la CNIL et de ses homologues ne se concentre pas seulement sur un outil de transfert de donnée, mais également sur d’autres outils utilisés par des sites permettant de transférer des données d’internautes européens vers les États-Unis. L’adoption des mesures correctrices à ce sujet sera exécutée ultérieurement.

Le Privacy Shield un outil pour la transmission de données vers les États-Unis

Par définition, le Privacy Shield est un mécanisme d’autocertification spécialisé pour les entreprises américaines. Ensuite, il a été adhérer par la Commission européenne. L’adéquation du niveau de protection des données est essentielle pour faire accorder cette autocertification. Dans ce cas, la garantie juridique y est appropriée. Toutes les données personnelles transférées d’une entité se trouvant dans l’UE vers les États-Unis sont concernées par le Privacy Shield.

La certification de l’entreprise américaine doit être conforme au Privacy Shield avant de transférer ses données vers les États-Unis. Le type de données doit être également compris dans la certification comme les données de santé, les données relatives aux ressources humaines, etc.…

La possibilité de la certification de l’entreprise peut être valable ou non par le Privacy Shield. La prévision pour d’autres garanties doit se faire afin que l’assurance des transferts de données de l’UE vers les États-Unis soit exécutée. Les clauses contractuelles types ou les règles d’entreprise contraignantes sont des exemplaires de ces garanties.

L’autorisation du transfert doit être faite rapidement, lorsqu’une entreprise européenne transfère des données à un sous-traitant basé aux États-Unis. La prévision d’un contrat de sous-traitances de données doit être exécutée également. Grâce à ce contrat, l’engagement pour le traitement des données est fait par l’entreprise sous-traitante située aux États-Unis. Cet engagement sera exécuté en suivant les instructions données par le responsable de traitement. Du coup, la prise de mesures également doit être faite pour la garantie de la sécurité des données. Le sous-traitant doit par ailleurs rester à la disposition du responsable de traitement pour la garantie d’un bon exercice des droits des personnes sur leurs données.

Un accord important qui succéderait au Privacy Shield

C’est après plusieurs mois de négociation que la présidente de la Commission européenne, Ursula Von der Leyen, et le président des États-Unis, Joe Biden, ont fait une remarquable annonce concernant l’accord de principe sur le transfert de données entre les deux puissances économiques.

C’est presque deux ans après l’invalidation du Privacy Shield par l’arrêt « Schrems II » de la CJUE (Cours de justice de l’Union européenne) que l’accord entre l’Europe et les États-Unis a été attendu avec impatience. De plus, cet accord marque une nouvelle étape importante pour les deux puissances économiques. L’exportation des données personnelles d’utilisateurs européens vers les États-Unis pourra se réaliser tout en sécurité par cet accord. Les difficultés de transferts de données que rencontre Google ou Facebook aujourd’hui seront résolues par cet accord.

Vers un transfert sécurisé des données entre l’Europe et les États-Unis

La présidente de la Commission européenne a déclaré que ce nouvel accord permettra des flux de données prévisibles et à la fois dignes de confiance entre l’Europe et les États-Unis. Cela est permis grâce à une sécurité équilibrée, une protection de la vie privée et surtout une protection des données. Il reste à prouver si le texte définitif sera adhéré et doit bien respecté les standards européens de protection des données en dehors de l’accord politique.

Une bonne nouvelle pour Google Analytics ?

Google a accepté avec plaisir ce nouvel accord. L’utilisation des services numériques doit être accessible, peu importe l’endroit où l’internaute qui l’emploie se trouve. Leurs informations devront être sécurisées et protégées quand elles passent par les frontières. Google a également affirmé ses salutations les plus distinguées pour les efforts effectués par la Commission européenne et le gouvernement américain. Cela se passera sur un nouveau cadre US-UE et protégera les transferts de données transatlantiques.

La remise en cause de la décision prise par la CNIL sera donc effectuée par ce nouvel accord qui a affirmé que l’usage de Google Analytics était une violation du RGPD. 

La constatation de la CNIL sur l’absence de décision d’adéquation a été également remise en question. Cette constatation a considéré le non garanti de même niveau de confidentialité qui se trouve entre les États-Unis et les pays de l’Union européenne. Le nouvel accord va prouver que tout cela est faux et que c’est également exécutable.