Google Analytics et RGPD : et maintenant que faire ? Par Claudia Weber et Céline Dogan, Avocats.

Google Analytics et RGPD : et maintenant que faire ?

Par Claudia Weber et Céline Dogan, Avocats.

1753 lectures 1re Parution: 5  /5

Explorer : # rgpd # transfert de données # google analytics # protection des données

L’outil Google Analytics, largement utilisé, permet la réalisation de statistiques sur l’audience d’un site internet via le dépôt de cookies permettant l’adoption d’une stratégie marketing.

-

En ce début d’année 2022, l’outil se trouve au cœur de l’actualité pour manquement au RGPD dans le cadre du transfert de données vers les Etats-Unis.

Nous décryptons pour vous les contraintes légales applicables afin de vous accompagner au mieux dans votre mise en conformité RGPD.

Que reproche-t-on à Google ?

Pour mémoire, en juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield garantissant la libre circulation des données entre l’Union européenne et les Etats-Unis par l’arrêt dit « Schrems II ».

Cette invalidation est la conséquence :
- de l’absence de décision d’adéquation de la Commission européenne établissant que les Etats-Unis assurent un niveau de protection adéquat des données à caractère personnel,
- de la présence au sein du corpus juridique américain de lois telles que le Cloud Act et/ou du Foreign Intelligence Surveillance Act (FISA) permettant aux services de renseignement américains d’accéder aux données personnelles transférées aux États-Unis.

Bien que les conditions générales de Google Analytics [1] précisent qu’il est interdit d’ajouter quelque donnée personnelle que ce soit, cette stipulation n’est pas en mesure d’écarter l’application du RGPD. En effet, une requête web, telle qu’une visite d’un site internet va de facto engendrer le traitement de l’adresse IP du visiteur.

Pour rappel, la Cour cassation a très clairement consacré en 2016 [2] que

« les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel ».

C’est ainsi, qu’en janvier 2022, l’European Data Protection Supervisor (EDPS) [3] et l’homologue autrichien de la CNIL (la DSB) [4] ont considéré le transfert de données vers les Etats-Unis via l’outil Google Analytics comme étant illégal en raison de l’absence de garantie d’un niveau de protection adéquat.

Début février 2022, c’est au tour de la CNIL de mettre en demeure un gestionnaire de site internet pour transferts illégaux de données personnelles [5]. La CNIL considère que l’outil n’offre pas les garanties nécessaires pour s’assurer du non-accès aux données personnelles des Européens par les services de renseignement américains.

Quelles garanties nécessaires pour utiliser Google Analytics ?

Depuis l’arrêt Shrems II, les transferts de données vers les Etats-Unis restent toujours possibles, à condition toutefois d’être encadrés par :
- des clauses contractuelles types et,
- des mesures complémentaires.

La question qui se pose désormais est donc de savoir quelles sont les mesures complémentaires à mettre en place pour garantir un niveau effectif final de protection en ayant recours à Google Analytics ?

Adoptées en novembre 2020, le CEPD avait publié des recommandations [6] détaillant les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel, prévoyant entre autres, la pseudonymisation ou l’anonymisation.

Il convient donc d’effectuer en amont de tout transfert une analyse de risques sur les mesures complémentaires à mettre en œuvre pour que le niveau de protection des données transférées soit porté au niveau de la norme européenne d’équivalence essentielle.

En réaction aux décisions rendues par les différentes autorités de protection des données personnelles Google a détaillé une liste de mesures supplémentaires pouvant être mises en œuvre pour assurer la conformité du transfert hors UE [7]. Mais là encore, on pourrait s’interroger sur la marge de manœuvre laissée par Google au client pour déterminer les modalités de fourniture du service…

Quoi qu’il en soit, la CNIL recommande [8] désormais de n’utiliser ces outils de mesure d’analyse et d’audience que pour produire des données statistiques anonymes « permettant ainsi une exemption de consentement si le responsable du traitement s’assure qu’il n’y a pas des transfert illégaux ».

Le statu quo actuel pourrait s’appliquer à tous les services de cloud ou de paiement américains traitant les données à caractère personnel d’individus européens.

En effet, même dans l’hypothèse où les données seraient stockées en Europe et non transférées vers les Etats-Unis, la situation pourrait être regardée par les autorités de protection comme similaire, dès lors que le Cloud Act et le FISA permettent aux services de renseignement américains d’accéder aux données quelle que soit leur localisation. Autrement dit, ce raisonnement conduirait à conclure à l’impossibilité de recourir aux services d’une société américaine…

Dans ce contexte, nous recommandons à chaque responsable de traitement :
- d’établir une cartographie de leurs prestataires, sous-traitants au sens du RGPD, et les outils utilisés,
- d’effectuer l’audit de leurs contrats avec leurs prestataires, sous-traitants au sens du RGPD,
- d’identifier si parmi eux, certains mettent en œuvre des flux hors UE,
- pour les prestataire qui opèrent des flux hors UE, mettre en place des mécanismes de transfert international adéquats.

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaboratrice
ITLAW Avocats
ITLAW Avocats - www.itlaw.fr

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

3 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

A lire aussi :

Explorer : # rgpd # transfert de données # google analytics # protection des données

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

24 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

25 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27838 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Association pour la prévention positive des cyberviolences

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Bien plus que du droit.

 

Cabinet d'avocat

 

Cabinet d'Avocats

 

Agir en faveur de l’accès au droit

 

Réseau de professionnels du Droit

 

Réseau de cabinets d’avocats indépendants

 

 

Facilite l'accès aux professions du Droit

 

Collectif d'avocats et de médiateurs

Solutions

Previous Next

 

AI-powered Contract Management

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Traducteurs assermentés

 

Association de gestion et de comptabilité pour Avocats

 

Logiciels pour professionnels du droit.

 

Offres pour les métiers du droit

 

Créateur de confiance juridique

 

Logiciels de conformité, risques et éthique

 

Destruction et recyclage de documents confidentiels

 

Editeur juridique

 

Solutions d'informations pour professionnels du droit.

 

Maintenance informatique spécialisée pour les professionnels du droit

 

1er service entièrement en ligne pour externaliser vos appels

 

Lettre recommandée électronique

 

Aides et Conseils à l'installation des avocats.

Formateurs

Previous Next

 

Se former aux métiers du Droit

 

L’école des nouveaux juristes !

 

Des formations spécialisées

 

Se former est une chance !

 

Formation, recherche et innovation

 

Formations courtes ou longues à destination des professionnels du droit

 

La Compétence juridique se recrute !

 

Cabinet juridique et organisme de formation

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Sélection Liberalis du week-end : L’art en mouvement à l’Atelier des Lumières.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.