Dans cette décision, la CNIL met en demeure un gestionnaire de site français de se mettre en conformité avec le RGPD dans un délai d’un mois, soit en suspendant son utilisation de la fonctionnalité Google Analytics (dans les conditions actuelles), soit en recourant à un outil n’entraînant pas de transfert hors de l’Union européenne.

1. Une décision dans la lignée de Schrems II

La décision du 10 février 2022 s’inscrit, d’une part, dans la volonté de la CNIL de relocaliser la maîtrise des données des Européens en Europe. Cette volonté n’est pas nouvelle et trouve un exemple récent dans le livre blanc sur les données de paiement d’octobre 2021, dans lequel la CNIL appelle de ses vœux la localisation des données de paiement en Europe pour contribuer à la lutte sur la souveraineté numérique européenne.

D’autre part, cette décision s’inscrit dans le sillage de l’arrêt Schrems II dans lequel la CJUE avait conclu à l’invalidation du Privacy Shield. La CNIL ne fait donc que tirer les conséquences des décisions luxembourgeoises.

2. Quelles solutions pratiques ?

La CNIL incite les entreprises françaises à se tourner vers des solutions européennes. Ces dernières existent et semblent représenter des alternatives viables à Google Analytics.

Il pourrait également être envisagé de recourir à l’article 49.1 du RGPD, qui pose une exception à l’interdiction des transferts vers des pays non sûrs dès lors que l’utilisateur a donné son consentement explicite et a été informé « des risques que ce transfert pouvait comporter ».

Toutefois, il est peu probable que cette parade résiste à l’examen de la CNIL, l’article 49 ayant vocation à s’appliquer à des « dérogations pour des situations particulières » et à des transferts « occasionnels et non répétitifs ».