Google Analytics, le service d’analyse Web le plus utilisé au monde, laisse les données des utilisateurs français vulnérables à l’accès des services de renseignement américains, a déclaré jeudi la CNIL.

Dans une décision concernant un administrateur de site Web français anonyme, le régulateur a déclaré que Google n’avait pas pris de mesures suffisantes pour garantir les droits à la confidentialité des données en vigueur dans l’Union européenne lorsque des informations étaient transférées entre le continent européen et les États-Unis.

La CNIL est l’un des organismes européens de réglementation de la confidentialité des données les plus influents et les plus influents.

« Ces (mesures) ne sont pas suffisantes pour exclure l’accessibilité de ces données par les services de renseignement américains », a indiqué la CNIL dans un communiqué.

« Il existe donc un risque pour les utilisateurs du site français qui utilisent ce service et dont les données sont exportées »

La CNIL a déclaré que l’administrateur du site français en question dispose d’un mois pour se conformer à la réglementation européenne et qu’il a émis des ordres similaires à d’autres opérateurs de sites Web.

Google n’a pas commenté la décision. La société avait précédemment déclaré que Google Analytics ne suivait pas les personnes sur Internet et que les organisations qui utilisent cet outil avaient le contrôle des données collectées.

La décision de la CNIL fait suite à une démarche similaire de son homologue autrichien, à la suite de plaintes de noyb (Non Of Your Business), un groupe fondé par l’avocat autrichien et militant de la vie privée Max Schrems, qui a remporté une affaire très médiatisée devant la haute cour du bloc européen en 2020.

À l’époque, la Cour de justice de l’Union européenne avait interdit un accord transatlantique de transfert de données, le Privacy Shield, utilisé par des milliers d’entreprises pour des services allant de l’infrastructure cloud à la paie et aux finances. Le tribunal a pointé des préoccupations similaires à celles de la CNIL.

Plusieurs grandes entreprises, dont Google et Facebook, ont appelé à un accord rapide sur un nouveau pacte transatlantique de transfert de données en raison des risques juridiques.

« A long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouverons avec des produits séparés pour les États-Unis et l’Union européenne », a déclaré Schrems en réaction à la décision de la CNIL.