La Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné diverses sociétés pour manquement au Règlement Général sur la Protection des Données (RGPD). Google en fait partie. Cet article vous fait découvrir les raisons.
La non-conformité de Google à la loi Informatique et Libertés
Plusieurs plaintes sont parvenues à la CNIL. Selon ces plaintes, les modalités de refus des cookies sur Google ne seraient pas conformes à la loi Informatique et Libertés dont le RGPD constitue une continuité.
Suite à son contrôle en ligne sur ce site en juin 2021, la CNIL a effectivement constaté que Google ne propose qu’un seul bouton pour accepter les cookies. Tandis que pour refuser l’accès à ces derniers, il faut effectuer plusieurs clics.
En raison de cette complexité du mécanisme de refus des cookies, l’organe de la CNIL en charge du prononcé des sanctions (la formation restreinte) a considéré que cette pratique de Google constitue un manquement à l’article 82 de la loi Informatique et Libertés. En effet, les utilisateurs sont découragés par le long processus de refus et préfèrent opter pour la facilité en acceptant les cookies.
Les sanctions
La société Google LLC a été sanctionnée par la formation restreinte de la CNIL au paiement d’une amende de 90 000 000 d’euros. La société GOOGLE IRELAND LIMITED quant à elle a été condamnée à une amende de 60 000 000 euros.
Ces sanctions sont intervenues après que la formation restreinte ait attiré, courant février 2021, l’attention des sociétés GOOGLE sur cette violation de la loi Informatique et Libertés.
De même, ces sociétés ont été contraintes à mettre à la disposition des internautes se trouvant en France, un moyen pouvant leur permettre de refuser les cookies aussi facilement que celui permettant de les accepter. Ceci devait être fait dans les 3 mois suivant la notification de la décision sous peine de payer une astreinte de 100 000 € par jour de retard.
Qu’en est-il de Google Analytics ?
L’association NOYB a saisi la CNIL au moyen de plusieurs plaintes sur le fait que les données collectées par Google Analytics sont transférées vers les États-Unis.
Ce transfert de données personnelles vers les États-Unis a été déclaré non conforme au RGPD par la CNIL courant février 2022. En effet, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield au cours de juillet 2020. De ce fait, tout transfert de données vers les États-Unis constitue une violation du RGPD.
Suite à cette décision de la CNIL, le paramétrage des conditions de traitement de l’adresse IP a été modifié par certains professionnels. Aussi, Google Analytics génère désormais le chiffrement de l’identifiant ou celui-ci est remplacé par un identifiant que génère l’opérateur depuis sa plateforme. Mais selon la CNIL, tous ces paramétrages n’empêchent pas que les données soient transférées aux USA.
Afin d’éviter le contact direct entre les serveurs de Google et le terminal de l’internaute, la CNIL recommande l’utilisation d’un proxy. Mais l’hébergement de ce dernier est soumis à des conditions bien précises.
Aussi, la validité de la proxyfication nécessite la mise en place de diverses mesures. En effet,
- L’adresse IP ne doit pas être transférée vers les serveurs de l’outil de mesure.
- L’identifiant de l’utilisateur doit être remplacé par le serveur de proxyfication.
- L’information doit être supprimée du site référent
- Les paramètres se trouvant dans les URL collectées doivent être supprimés
- Les informations qui peuvent générer une empreinte doivent être retraitées
- Les collectes d’identifiants déterministes ou entre sites ne doivent point exister
- Toute donnée capable de conduire à une réidentification doit être supprimée.
