La CNIL autrichienne a jeté un pavé dans la mare le 13 janvier dernier en déclarant l’utilisation de Google Analytics illégale.
Serait-ce une question de consentement avant le dépôt de cookies ? De pouvoir « tout accepter » ou « tout refuser » de manière égale ? D’empêcher Google de réutiliser les données d’Analytics pour d’autres fins ?
Rien de tout ça.
En fait, cela n’a rien à voir avec la directive ePrivacy (celle des cookies), c’est du RGPD pur et dur qui porte sur le transfert de données personnelles à l’étranger.
En effet, depuis la chute du Privacy Shield le 16 juillet 2020, les transferts de données personnelles aux États-Unis sont devenus bien plus complexes.
Or Google Analytics traite des données personnelles au travers d’identifiants uniques, de cookies et d’adresses IP.
La CNIL autrichienne juge donc que les mesures supplémentaires apportées par Google sont insuffisantes dans le cadre du transfert de données aux USA. Elles ne permettent pas d’empêcher les services de renseignement d’accéder aux informations et donc potentiellement d’identifier des ressortissants de l’Union Européenne.
Le directeur juridique de Google a alors pris la parole le 19 janvier en exhortant les États-Unis et l’Europe à se mettre d’accord sur un nouveau cadre qui permette le transfert de données.
D’autant plus qu’il annonce qu’en quinze ans d’activité, les services de renseignements américains n’ont jamais demandé à accéder à leurs données.
🧑🍳 Notre avis :
Ce n’est que le début. Google Analytics est un bouc émissaire très facile à faire tomber : on le voit dans le code source de plus de 80% des sites internet.
Mais ce sont en réalité tous les outils numériques US qui sont concernés. Et si on tire le fil, l’impact est énorme.
Va-t-il falloir changer tous les services SaaS que l’on utilise dans les mois à venir ? Peut-être. On manquait de clarté mais on commence à sentir dans quel sens le vent va tourner.
Ne nous précipitons pas pour autant : d’autres CNIL devraient prendre position prochainement.
Dans la même veine, l’appel de polices depuis Google Fonts est illégal d’après un tribunal de la région de Munich.
En effet, ce dernier a jugé que la récupération de polices depuis les serveurs de Google était équivalente à l’envoi d’adresses IP sans consentement alors qu’il est possible de faire autrement.
Pour eux, il faut mettre les polices sur nos serveurs. Enfin… allez dire ça à celles et ceux qui devront apprendre le HTML et le CSS pour le faire !
Eh oui, ça ne se fait pas en un clic pour tous les thèmes et extensions.
Pour en savoir plus :
- FAQ de la CNIL sur l’invalidation du Privacy Shield – Arrêt Schrems II (en français)
- L’annonce de la décision de la CNIL autrichienne sur le site des activistes NOYB (en anglais)
- La réponse de Google suite à la décision de la CNIL autrichienne (en anglais)
- La décision du tribunal de Munich quant à Google Fonts (en allemand)
🤔 Nous suivons ces rebondissements dans notre formation WordPress depuis des mois sans pour autant prendre position.
Il semblerait toutefois que les choses bougent du côté européen ; la CNIL française est également attendue au tournant.
Aucun commentaire