Dans une décision visant un gestionnaire de site web français anonyme, l'autorité de contrôle de la protection des données - l'une des plus actives et influentes en Europe - a déclaré que le géant américain de la technologie n'avait pas pris de mesures suffisantes pour garantir les droits à la confidentialité des données en vertu de la réglementation de l'Union européenne lorsque les données sont transférées entre l'Europe et les États-Unis.

"Ces mesures ne sont pas suffisantes pour exclure l'accessibilité de ces données aux services de renseignement américains", a déclaré l'autorité de régulation dans un communiqué.

"Il existe donc un risque pour les utilisateurs du site français qui utilisent ce service et dont les données sont exportées.

La CNIL a indiqué que le gestionnaire du site français en question disposait d'un mois pour se conformer à la réglementation européenne et qu'elle avait adressé des injonctions similaires à d'autres exploitants de sites web.

Google n'a pas souhaité commenter la décision de la CNIL. L'entreprise a précédemment déclaré que Google Analytics ne suivait pas les personnes sur Internet et que les organisations utilisant cet outil contrôlaient les données qu'elles collectaient.

La décision de la CNIL fait suite à une décision similaire prise par son homologue autrichienne, à la suite de plaintes déposées par noyb (Non Of Your Business), un groupe de pression basé à Vienne et fondé par Max Schrems, avocat autrichien et défenseur de la vie privée, qui a remporté une affaire très médiatisée devant la plus haute juridiction de l'Union européenne en 2020.

À l'époque, la Cour de justice de l'Union européenne avait supprimé un accord transatlantique de transfert de données connu sous le nom de "Privacy Shield" (bouclier de protection de la vie privée), sur lequel s'appuyaient des milliers d'entreprises pour des services allant de l'infrastructure en nuage à la paie et à la finance, en raison de préoccupations similaires.

Plusieurs grandes entreprises, dont Google et Facebook, ont demandé qu'un nouveau pacte transatlantique sur le transfert de données soit rapidement conclu en raison des risques juridiques qu'il comporte pour elles.

"À long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous finirons par avoir des produits distincts pour les États-Unis et l'Union européenne", a déclaré M. Schrems en réaction à la décision de la CNIL.

"Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain, et non de qui que ce soit en Europe.