En février 2022, la Cnil a constaté qu’un outil d’analyse statistique n’offrait pas un niveau de protection suffisant pour les données personnelles. En ce début juin 2022, elle refait un point d’étape sur les actions à mener par les entreprises et associations utilisant cet outil…
Une simple modification du paramétrage n’est pas suffisante
Pour mémoire, le transfert de données personnelles vers un pays situé hors de l’Union européenne (UE) est strictement encadré par le Règlement général sur la protection des données (RGPD).
Celui-ci interdit, en effet, le transfert de données vers un pays qui n’offre pas un niveau de protection suffisant, comme les Etats-Unis. Pourtant, il est apparu que l’utilisation d’un outil d’analyse statistique (« Google Analytics ») entrainait un transfert des données des utilisateurs des sites sur lesquels il est intégré vers ce pays.
Après recherches, la Cnil vient d’annoncer qu’une simple modification du paramétrage de l’outil est insuffisante. A ce stade, une seule solution est possible : l’utilisation d’un serveur mandataire (« proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure.
Le choix du proxy demande une étude approfondie car il faut qu’il respecte un ensemble de critères permettant de s’assurer que la pseudonymisation des données est bel et bien efficace.
Il faut également s’assurer que le serveur du proxy est lui-même hébergé dans des conditions qui permettent de garantir que les données ne seront pas transférées vers un pays qui n’offre pas un niveau de protection suffisant.
Enfin, sachez que pour aider les professionnels, la Cnil a mis en place une foire aux questions.
Source : Actualité de la Cnil du 7 juin 2022
Outil d’analyse statistique : à mettre (impérativement) à jour ? © Copyright WebLex – 2022