Comment rendre les transferts vers Google Analytics aux États-Unis conformes au RGPD ? (Sirdata)

Suite à des plaintes de NOYB, le DSB autrichien puis la CNIL, en coopération avec ses homologues européens, ont tour à tour analysé les transferts de données collectées par Google Analytics vers les États-Unis.
En suivant un raisonnement similaire, ces Autorités de contrôle ont estimé, respectivement le 12 janvier 2022 et le 10 février 2022, que ces transferts sont illégaux.

Précisons pour commencer que seul l’éditeur qui utilise Google Analytics est visé par ces décisions : Google n’est pas mis en cause par ces Autorités dans le cadre spécifique de ce transfert.

En effet, dans le cas du transfert en dehors de l’Espace Économique Européen (“EEE”), seule la transmission de données à caractère personnel par l’exportateur est couverte par la notion de transfert au sens du RGPD, et non sa réception par l’importateur.

En bref :

• J’utilise Google Analytics (Universal Analytics ou GA4), suis-je impacté par la décision de la CNIL ? Oui
• J’ai activé le Google Consent Mode, suis-je protégé de la décision de la CNIL ? Non
• Puis-je continuer à utiliser Google Analytics tel quel ? Non
• Puis-je continuer à utiliser GA4 si j’active Sirdata Analytics Helper ? Non
• Puis-je continuer à utiliser Universal Analytics si j’active le service Sirdata Analytics Helper ? Oui
• Puis-je activer Sirdata Analytics Helper avec une autre CMP que celle de Sirdata ? Oui

Retrouvez au sein d’un article des équipes Sirdata, l’explication détaillée de ces décisions, ou passez directement aux sections III et IV pour découvrir comment mettre ce transfert en conformité avec le RGPD.