Réponses de la CNIL sur la conformité de Google Analytics avec le RGPD

Les differentes reponses apportees par la CNIL le 7 juin dernier quant à l’usage de Google Analytics laisse peu de place aux doutes quant à sa conformité avec les dispositions du RGPD.

Google a indiqué que l’ensemble des données collectées par ce service d’analyse était hébergé aux États-Unis, de sorte que meme en l’absence de transfert de données, un risque subsiste puisque des sociétés soumises à des lois de pays situés hors UE peuvent être contraintes de divulguer des données personnelles hébergées sur des serveurs situés au sein de l’Union européenne.

Or, la CNIL rappelle que l’article 48 du RGPD limite ces divulgations « aux seuls cas où le pays tiers demandeur et l’Union européenne ou l’État membre concerné sont parties d’un accord international prévoyant de telles communications ».

A ce stade, la CNIL rappelle que la pseudonymisation ou le chiffrement sont actuellement insuffisants dès lors que Google accède aux données en clair et procède lui meme à ce chiffrement.

Une solution pratique reste envisageable : Le recours à un proxy afin d’éviter un contact direct entre le terminal de l’internaute et les serveurs de Google.

Les entreprises et organismes europeens sont toutefois invités à ne plus faire un usage direct de ce service.