En tant qu’entreprise, respecter la règlementation RGPD est essentiel, en effet la CNIL est de plus en plus active dans ses contrôles et les sanctions financières de plus en plus sévères envers les entreprises.
Plus particulièrement, les entreprises sont friandes de l’outil Google Analytics, qui leur permet de pouvoir analyser les visites sur leur site Internet, cet outil, affilié à Google, est totalement gratuit et permet de voir :
- Le nombre de personnes qui visitent le site de l’entreprise en question
- Ce que ces personnes font sur le site en question
- Combien de temps y passent-ils ?
- D’où viennent ces visiteurs (moteurs de recherches ou réseaux sociaux)
- Nombre de connexions obtenues sur le site de l’entreprise
Quid de la conformité au RGPD avec de telles fonctionnalités ? La mise en place d’un tel outil ne met-elle pas en risque l’entreprise en ce qui concerne le respect à la règlementation RGPD ?
Google Analytics fonctionne via l’installation de balises JavaScript, balises qui installent, du côté du visiteur du site, des cookies sur leurs navigateurs, qui collectent en retour des données personnelles voire sensibles sur les utilisateurs. De vastes données extrêmement détaillées sur les individus, leurs comportements, leurs habitudes et leurs préférences, sont ainsi collectées.
En Europe, les utilisateurs sont a priori protégés grâce à la règlementation RGPD de l’Union Européenne, ce règlement est uniforme pour les 27 pays de l’Union Européenne, qui, depuis le Brexit, ne compte effectivement plus le Royaume-Uni, suite au référendum britannique du 23 juin 2016.
Pour ces 27 pays, le RGPD garantit ainsi aux utilisateurs européens des droits, dont celui du consentement (libre et éclairé).
En vertu de la législation sur la protection des données, toute entreprise (pour la navigation sur leur site Internet) est tenue de demander et d’obtenir le consentement explicite de l’utilisateur pour tout type de cookies ou traceurs sur le site qui traite leurs données personnelles conformément à l’article 5 du RGPD.
Quid des données transférées à l’étranger ? Très récemment, la Datenschutzbehörde, l’autorité autrichienne de protection des données (DAP), l’équivalent de la CNIL en France, estime que l’utilisation de Google Analytics enfreint le Règlement Général sur la Protection des données, en effet les données récoltées grâce à cet outil, transitent vers les serveurs américains de Google sans pour autant être suffisamment protégées.
Une telle décision a été prise car l’accord de transfert de données Privacy Shield, accord censé protéger les échanges entre l’Europe et les Etats-Unis, a été invalidé. En effet, la Cour de justice de l’Union européenne (CJUE), saisie par l'ONG autrichienne NOYB, a rendu le 16 juillet 2020 un arrêt majeur, dit « Schrems II », invalidant ce régime de transferts de données entre les deux continents. C’est cette même ONG qui a saisi l’autorité autrichienne de protection des données dans l’affaire de Google Analytics.
Les conséquences de cet arrêt sont nombreuses pour les organismes qui souhaitent transférer des données. Ce qui pousse les deux pays à trouver un autre accord afin que ces données transférées soient protégées eu égard à la règlementation européenne en la matière.
D’autant que l’autorité autrichienne a reçu l’appui du Comité européen sur la protection des données.
Ce genre d’actions pourraient être menées partout en Europe et pas seulement contre Google Analytics, d’autres outils sont dans le viseur comme Facebook Connect, l’API de la société Meta, Helth data Hub etc.
D’autant que l’ONG autrichienne avait par la suite déposé de nombreuses plaintes en Europe (101 précisément) pour dénoncer les stratégies de contournement mises en place par les grandes entreprises du web.
L’installation de ces outils demande une grande vigilance de la part des entreprises, notamment, c’est pourquoi le Cabinet Avomédias peut vous aider dans la mise en place juridique de ces mécanismes.
Avocat spécialisé en droit des données personnelles, le Cabinet Avomedias vous accompagne dans toutes vos démarches de mise en conformité au Règlement Général sur la Protection des Données (RGPD).