Action concernant l’IAE Paris suite à l’utilisation de Google Analytics et Google Ads sur le site IAE-PARIS.COM
En mars 2023, le site de l’IAE Paris utilisait les services de ciblage publicitaire Google Analytics et Google Ads, et les exécutait au chargement de la page, avant la moindre action de l’internaute.
Ces traitements étaient réalisés malgré l’affichage d’une bannière de consentement aux cookies.
Une plainte a été déposée à la CNIL pour demander que ces services soient retirés et que les données collectées soient supprimées. La Commission a répondu, neuf mois plus tard, que « la CNIL est intervenue […] auprès de l’organisme mis en cause [et] lui a rappelé les obligations lui incombant sur l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis ».
En juin 2024, il a été constaté que Google Analytics avait été retiré et que Google Ads n’était plus exécuté au chargement de la page.
Chronologie des événements :
-
Plainte déposée à la CNIL
La plainte n° 44-19673 a été déposée à la CNIL pour demander que Google Analytics et Google Ads soient retirés et que les données collectées soient supprimées.Documents
- Plainte IAE Paris GA GDBL.pdf
- iae-paris.com_Archive [23-03-03 10-15-53].txt
-
Plainte transmise
La plainte n° 44-19673 a été transmise au service de l’exercice des droits et des plaintes de la CNIL. -
Message de la CNIL
La CNIL a indiqué que « la CNIL est intervenue […] auprès de l’organisme mis en cause [et] lui a rappelé les obligations lui incombant sur l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis ».Voir le message intégral
Monsieur,
Vous avez adressé à la Commission nationale de l'informatique et des libertés (CNIL) une plainte relative à un ou plusieurs outils impliquant des transferts de données à caractère personnel vers les Etats-Unis.
Je vous informe que, depuis la réception de votre plainte, la Commission européenne a adopté une décision d'adéquation constatant que les États-Unis assurent un niveau de protection des données à caractère personnel équivalent à celui de l'Union européenne. Il ressort de cette décision que les organismes soumis au règlement général sur la protection des données (RGPD) peuvent désormais transférer des données à caractère personnel vers les organismes certifiés qui se sont engagés à adhérer à ce cadre légal. Aussi, depuis le 10 juillet 2023, les transferts de données vers les États-Unis dont vous faites état dans votre plainte sont en principe conformes aux exigences posées par le règlement général sur la protection des données (RGPD).
S'agissant des transferts intervenus avant le 10 juillet 2023, la CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause. Elle lui a rappelé les obligations lui incombant sur l'encadrement des transferts de données vers un pays hors de l'Union européenne et plus particulièrement vers les Etats-Unis à la suite de l'invalidation de la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données entre l'Union européenne et les États-Unis (Privacy shield).
Compte tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte.
Je vous prie d'agréer mes salutations distinguées.
Sous réserve de votre intérêt à agir, vous pouvez contester cette décision de clôture en saisissant le Conseil d'Etat dans un délai de 2 mois à compter de la date de notification de ce message. Ce délai est augmenté d'un mois pour les personnes qui demeurent en Guadeloupe, en Guyane, à la Martinique, à La Réunion, à Saint-Barthélemy, à Saint-Martin, à Mayotte, à Saint-Pierre-et-Miquelon, en Polynésie française, dans les îles Wallis et Futuna, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises ou de deux mois pour les personnes qui demeurent à l'étranger.
-
Constatation
Google Analytics n’était plus utilisé. Googla Ads n’était plus exécuté au chargement de la page.