Action concernant la banque FORTUNEO suite à l’utilisation de Google Analytics sur le site FORTUNEO.FR
En novembre 2022, le site de la banque FORTUNEO, « FORTUNEO.FR », utilisait Google Analytics et l’exécutait lorsque le bouton d’acceptation des cookies était cliqué.
Une plainte a été déposée à la CNIL pour demander notamment que Google Analytics soit retiré. La Commission a répondu, un an plus tard, que « la CNIL est intervenue […] auprès de l’organisme mis en cause [et] lui a rappelé les obligations lui incombant sur l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis ».
En novembre 2023, il a été constaté que Google Analytics avait été retiré.
Chronologie des événements :
-
Plainte déposée à la CNIL
La plainte n° 44-2832 a été déposée à la CNIL pour demander que Google Analytics soit retiré, que les données collectées grâce à Google Analytics soient supprimées et que les personnes soient informées que leurs données personnelles ont été transférées dans un pays ne garantissant pas une protection adéquate.Documents
- Plainte Fortuneo.pdf
- www.fortuneo.fr_Archive [22-11-03 18-43-35].txt
-
Plainte transmise
La plainte n° 44-2832 a été transmise au service de l’exercice des droits et des plaintes de la CNIL. -
Message de la CNIL
La CNIL a indiqué que que « la CNIL est intervenue […] auprès de l’organisme mis en cause [et] lui a rappelé les obligations lui incombant sur l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis ».Voir le message intégral
Monsieur,
Vous avez adressé à la Commission nationale de l'informatique et des libertés (CNIL) une plainte relative à l'utilisation d'un ou plusieurs outils impliquant des transferts de données à caractère personnel vers les Etats-Unis.
Je vous informe que, depuis la réception de votre plainte, la Commission européenne a adopté une décision d'adéquation constatant que les États-Unis assurent un niveau de protection des données à caractère personnel équivalent à celui de l'Union européenne. Il ressort de cette décision que les organismes soumis au règlement général sur la protection des données (RGPD) peuvent désormais transférer des données à caractère personnel vers les organismes certifiés qui se sont engagés à adhérer à ce cadre légal. Aussi, depuis le 10 juillet 2023, les transferts de données vers les États-Unis dont vous faites état dans votre plainte sont en principe conformes aux exigences posées par le règlement général sur la protection des données (RGPD).
S'agissant des transferts intervenus avant le 10 juillet 2023, la CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause. Elle lui a rappelé les obligations lui incombant sur l'encadrement des transferts de données vers un pays hors de l'Union européenne et plus particulièrement vers les Etats-Unis à la suite de l'invalidation de la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données entre l'Union européenne et les États-Unis (Privacy shield).
Compte tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte.
Je vous prie d'agréer mes salutations distinguées.
[RETIRÉ]
Juriste au Service de l'exercice des droits et des plaintes
Sous réserve de votre intérêt à agir, vous pouvez contester cette décision de clôture en saisissant le Conseil d'Etat dans un délai de 2 mois à compter de la date de notification de ce message. Ce délai est augmenté d'un mois pour les personnes qui demeurent en Guadeloupe, en Guyane, à la Martinique, à La Réunion, à Saint-Barthélemy, à Saint-Martin, à Mayotte, à Saint-Pierre-et-Miquelon, en Polynésie française, dans les îles Wallis et Futuna, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises ou de deux mois pour les personnes qui demeurent à l'étranger.
-
Constatation
Il a été constaté que Google Analytics n’était plus intégré au site.