Les données personnelles et leur protection sont plus que jamais les nouvelles matières premières de l’économie numérisée. À la suite d’une plainte déposée par l’association None of Your Business (NOYB), la CNIL a analysé les conditions dans lesquelles les données collectées par Google Analytics sont transférées vers les États-Unis.
- En tant qu’outil pratique et gratuit, il permet de mesurer la fréquentation des sites internet par les utilisateurs. En ce sens, les données collectées permettent de créer un identifiant à chaque utilisateur en vue de lui relier des données précises le concernant.
- Or, la CNIL a estimé que l’utilisation de ce service par un site web revêt un caractère illégal du fait du transfert des données outre-Atlantique.
o Cette pratique enfreint les articles 44 et suivants du RGPD, et plus particulièrement l’arrêt « Schrems II », rendu par la CJUE le 16 juillet 2020.
- Est concerné, en l’espèce, le transfert de données personnelles vers des pays qui ne peuvent assurer de garanties suffisantes quant à leur protection.
o La décision fait écho à celle rendue par l’autorité autrichienne compétente (DBS) concernant l’usage de Google Analytics.
- La CNIL a mis en demeure le gestionnaire de site de mettre en conformité ces traitements avec le droit européen dans le cadre du RGPD. Le gestionnaire dispose d’un mois pour se mettre en conformité.
- Malheureusement, face à la valeur marchande de ces données, il est à craindre cette amende ne soit pas suffisamment dissuasive, et ne s’inscrive que dans la colonne “coût des affaires” du bilan de l’entreprise
Dans la même catégorie, le 15 février 2022, a été lancée une action coordonnée du Conseil européen de la protection des données (CEPD), une enquête sur la manière dont le secteur public utilise les services du cloud.
- Cette série d’actions est consécutive à la décision d’octobre 2020 de mettre en place chaque année un cadre d’action coordonné, sur des questions spécifiques pouvant avoir une importance transfrontalière.
- Au cours des six dernières années, l’adoption du cloud par les entreprises a doublé au sein de l’Union européenne, d’autant plus dans un contexte de crise pandémique, de confinements et de dématérialisation des rapports humains
o Toutefois, certains organismes publics, au niveau tant européen que national, peuvent faire face à des difficultés quant à l’obtention de services et de produits d’information et de technologies conformes aux règles de protection des données imposées dans l’UE.
- Cette action s’inscrit également dans la Boussole numérique de l’Union européenne, avec l’objectif d’assurer en ligne tous les services publics essentiels d’ici 2030.
- Le cloud s’avère donc être une priorité pour les États membres et en particulier pour les autorités de protection des données, qui souhaitent empêcher tout transfert international non encadré de ces données.