Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics

07 juin 2022

La CNIL a mis en demeure plusieurs organismes de se mettre en conformité concernant l’utilisation de Google Analytics, en raison du transfert de données vers les États-Unis sans garanties suffisantes pour les droits des utilisateurs européens. Quelles sont les conséquences pour les organismes ?

Utilisation de Google Analytics

Cette foire aux questions ne vise que les décisions de mise en demeure de la CNIL concernant l’utilisation de Google Analytics à la suite de l’invalidation du Privacy Shield.

La déclaration conjointe de la Commission européenne et des États-Unis en mars 2022 concernant une future décision visant à encadrer de manière satisfaisante les flux de données vers les Etats-Unis n’est à ce stade qu’une annonce politique. Le CEPD a publié une déclaration le 6 avril dans laquelle il précise que cette déclaration ne constitue pas un cadre juridique sur lequel les organismes peuvent s’appuyer pour transférer les données vers les États-Unis.

 

Concernant les mises en demeure

En bref, que faut-il retenir des mises en demeure prononcées par la CNIL ?


Pourquoi la mise en demeure mise en ligne a-t-elle été anonymisée ?


Les organismes disposent-ils d’un délai pour se mettre en conformité ?


Cette interprétation des conséquences de l’arrêt « Schrems II » par la CNIL est-elle partagée au niveau européen ?


Pourquoi l’ensemble des plaintes déposées par l’association noyb n’ont pas été traitées en même temps ?


Concernant l’utilisation de l’outil Google Analytics

Des clauses contractuelles types et des garanties supplémentaires peuvent-elles permettre d’utiliser Google Analytics ?


Est-il possible de paramétrer l’outil Google Analytics de façon à ne pas transférer de données personnelles hors de l’Union européenne ?


Est-il possible de faire en sorte de paramétrer Google Analytics afin de ne transférer vers les États-Unis que des données anonymes ?


Le chiffrement pourrait-il être une garantie supplémentaire suffisante ?


Existe-t-il des garanties supplémentaires suffisantes pour continuer à utiliser l’outil Google Analytics seul ?


Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ?


Concernant les solutions alternatives à disposition des acteurs

Existe-t-il des outils alternatifs ?


Comment s’assurer que les outils de mesure d’audience ne transfèrent pas de données vers un pays tiers non adéquat ?


Les responsables de traitement peuvent-ils adopter une approche par les risques, prenant en compte la probabilité des demandes d’accès aux données ?


Document reference

Télécharger la mise en demeure anonymisée - Google analytics

Les mots clés associés à cet article