Pour la CNIL, Google Analytics ne peut se conformer au RGPD

Depuis l’invalidation du Privacy Shield et en vertu du RGPD, les entreprises américaines n’ont pas le droit de transmettre la moindre donnée européenne aux États-Unis, notamment parce que les autorités américaines peuvent contraindre une entreprise de divulguer toute donnée personnelle qu’elle possède.

En février 2022, la CNIL a ainsi jugé Google Analytics non-conforme au RGPD, une décision qui pourrait rendre, à terme, son utilisation interdite sur le sol français.

Dans une série de questions-réponses publiées ce 7 juin sur son site, la CNIL affirme que « le recours à des solutions proposées par des sociétés soumises à des juridictions extra-européennes est susceptible de poser des difficultés en matière d’accès aux données ».

La CNIL rejette ensuite certaines solutions proposées par Google, comme l’anonymisation. La Commission rappelle que le géant du web veut en fait user de pseudonymisation, qui est réversible, et ne respecte donc pas le RGPD.

Qui plus est, juge la CNIL, « la seule utilisation d’identifiants uniques permettant de différencier les individus peut permettre de rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation ».

Le chiffrement pose le même problème, dans la mesure où Google a accès aux clés, et pourrait donc déchiffrer les données sur demande des autorités US.

La CNIL admet que l’utilisation d’un proxy pourrait être une solution, mais uniquement en respectant le cadre du Comité européen de la protection des données – ce qui n’est pas le cas de la proposition de Google.