Suite aux plaintes de l’association autrichienne Noyb et des premières actions judiciaires de la CNIL, cette dernière a ajouté un autre contrevenant sur sa liste. Des décisions de taille qui remettent en cause la conformité du RGPD de la plupart des sites web actuels.
Dans la cible de Noyb figurent 101 sites qui utilisent Google Analytics ou Facebook Connect. Parmi les sociétés mises en demeure de se mettre en règle avec la législation européenne sur la protection des données personnelles figurent 6 entreprises françaises : Leroy Merlin, le Huffington Post, Décathlon, Free, Auchan et Sephora. Comme indiqué sur notre site, le fondement de ces décisions s’appuie sur l’invalidation du Privacy Shield (bouclier de protection américain des données) par la Cour de Justice de l’Union Européenne (CJUE) qui n’apporte pas de garanties suffisantes sur le transfert des données personnelles aux Etats-Unis. Ainsi que le stipule le communiqué de la CNIL, la société mise en cause le 2 mars 2022, « un commerce de détail spécialisée dans les articles de sport » collecte via Google Analytics des données personnelles au sens du RGPD. A savoir qu’elles contiennent l’adresse IP des visiteurs et des cookies qui permettent d’identifier des personnes, surtout lorsqu’elles ont croisées avec d’autres types d’informations.
L’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) qui regroupe les DPO des entreprises précise « Depuis l’invalidation du Privacy Shield (juillet 2020), il n’y a pas de doute pour les DPO sur le fait que Google n’est plus en conformité avec les articles 44 et suivants du RGPD, relatifs aux transferts de données hors Union Européenne. Comme le souligne la CNIL, « si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées. »
Seul un changement de législation aux États-Unis permettrait une parfaite conformité avec le RGPD
Après le webinaire du 4 mars organisé par l’AFCDP et regroupant plus de 400 membres, le constat et les conclusions montrent des enjeux de taille. « L’un des enseignements majeurs de ces échanges avec ces experts, a été de rappeler que nous pouvons déjà agir sur quelques éléments sur lesquels nous avons la main aujourd’hui, notamment revoir les paramétrages par défaut de ces outils », commente Muriel Glatin, membre administratrice de l’AFCDP.
Les DPO estiment que sans changement de législation aux États-Unis et sans nouvel accord transatlantique il ne leur est pas possible aujourd’hui de se mettre en parfaite conformité avec le RGPD. Un accord de principe a été annoncé le 25 mars, mais au-delà de l’intention politique, très médiatisée, l’incertitude subsiste sur la réalité d’un Privacy Shield II opérationnel à court terme, et en l’absence d’évolution législative aux États-Unis, sur ses chances d’échapper à la censure de la CJUE. La majorité des DPO ne peuvent, dans ces conditions, envisager de solutions pérennes.
