En novembre 2022, le site de la néobanque pour professionnels SHINE, « SHINE.FR », propriétée de la SOCIÉTÉ GÉNÉRALE, utilisait Google Analytics et l’exécutait au chargement de la page, avant la moindre action de l’internaute.

Ce traitement de données était réalisé bien qu’une bannière de consentement à l’utilisation de cookies était affichée.

Une plainte a été déposée à la CNIL pour demander notamment que le module Google Analytics soit retiré. La Commission a répondu, quatre mois plus tard, qye « les services de la CNIL sont intervenus […] en rappelant à la société SHINE les obligations qui lui incombent concernant l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis ».

La Commission lui a également rappelé que « le dépôt de cookies ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement préalable, sauf s’il s’agit de cookies strictement nécessaires à la fourniture du service ».

Chronologie des événements :

  • Le 04/11/2022, une plainte a été déposée à la CNIL (réf. 44-2987) pour demander (i) que le module Google Analytics soit retiré, (ii) que les données collectées grâce au module Google Analytics soient supprimées et que (iii) les personnes soient informées que leurs données personnelles ont été collectées sans leur consentement et transférées dans un pays ne garantissant pas une protection adéquate.
  • Le 03/03/2023, un message a été reçu de la CNIL pour indiquer que « les services de la CNIL sont intervenus […] en rappelant à la société SHINE les obligations qui lui incombent concernant l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis » et en rappelant que « le dépôt de cookies ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement préalable, sauf s’il s’agit de cookies strictement nécessaires à la fourniture du service » (Voir le message intégral).
  • Le 03/03/2023, il a été constaté que Google Analytics était toujours présent et exécuté au chargement de la page. Une seconde plainte a été déposée à la CNIL (réf. 44-19769) pour réitérer les demandes initiales.
  • Le 09/07/2023, il a été constaté que Google Analytics était toujours présent et exécuté au chargement de la page. Un complément d’information a été ajouté à la plainte pour informer la CNIL.
Cette action est en cours et sera mise à jour lorsqu'un nouvel événement interviendra.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés