Le 4 novembre 2022, il a été constaté que lors de la visite du site « SHINE.FR », édité par la société SHINE, une néobanque pour professionnels appartenant à la SOCIÉTÉ GÉNÉRALE, le module Google Analytics était exécuté au chargement de la page, avant la moindre action de l’internaute.

Ce traitement de données est réalisé bien qu’une bannière de consentement à l’utilisation de cookies soit affichée.

Une plainte a été déposée à la CNIL pour demander que le module Google Analytics soit retiré, que les données collectées soient supprimées et que les visiteurs soient informés que leurs données personnelles ont été collectées sans le consentement et transférées vers un pays ne garantissant pas une protection adéquate.

La CNIL a indiqué être « intervenue » et avoir « rappelé à la société SHINE les obligations qui lui incombent » concernant l’utilisation de cookies et les transferts de données hors de l’Union européenne.

Google Analytics étant toujours présent sur le site, une seconde plainte a été déposée à la CNIL.

Chronologie des événements :

  • Le 04/11/2022, une plainte a été déposée à la CNIL (réf. 44-2987) pour demander (i) que le module Google Analytics soit retiré, (ii) que les données collectées grâce au module Google Analytics soient supprimées et que (iii) les personnes soient informées que leurs données personnelles ont été collectées sans leur consentement et transférées dans un pays ne garantissant pas une protection adéquate.
  • Le 03/03/2023, un message a été reçu de la CNIL pour indiquer que « les services de la CNIL sont intervenus […] en rappelant à la SHINE « les obligations qui lui incombent concernant l’encadrement des transferts de données » et concernant l’utilisation de cookies (Voir le message intégral).
  • Le 03/03/2023, il a été constaté que Google Analytics était toujours présent. Une seconde plainte a été déposée à la CNIL (réf. 44-19769) pour réitérer les demandes initiales.