IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 845
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 845
    Points : 157 837
    Points
    157 837
    Par défaut La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics
    La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics,
    Le recours à Google Analytics va-t-il être remis en cause en Europe ?

    Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français (à l'identité non communiquée) de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.

    Le gestionnaire de site dispose d’un mois pour se mettre en conformité. Plusieurs solutions sont possibles. Soit il cesse d’utiliser Google Analytics en l’état, soit une solution est trouvée pour qu’il n’y ait pas de transfert hors de l’Union européenne. D’une manière générale, la CNIL recommande que les services de mesure et d’analyse d’audience servent uniquement à produire des données statistiques anonymes permettant l’exemption de consentement.

    Google Analytics n'est pas le seul concerné : des outils supplémentaires seraient également dans le collimateur des gendarmes de protection des données à l'instar de Facebook Connect, qui permet de se connecter sur un site tiers à partir de son compte Facebook.


    L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

    En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

    Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

    Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».

    Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

    À propos de Google Analytics, NOYB a estimé que :

    Décision pertinente pour presque tous les sites web de l'UE. Google Analytics est le programme de statistiques le plus courant. Bien qu'il existe de nombreuses alternatives hébergées en Europe ou pouvant être autohébergées, de nombreux sites web s'appuient sur Google et transmettent ainsi leurs données d'utilisateur à la multinationale américaine. Le fait que les autorités de protection des données puissent désormais progressivement déclarer les services américains illégaux exerce une pression supplémentaire sur les entreprises de l'UE et les fournisseurs américains pour qu'ils se tournent vers des options sûres et légales, comme l'hébergement en dehors des États-Unis.

    Solution à long terme. À long terme, il semble y avoir deux options : soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger des données étrangères en dehors des États-Unis.

    Max Schrems : « À long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouvons avec des produits séparés pour les États-Unis et l'UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain et de personne en Europe ».

    Nom : google.png
Affichages : 11559
Taille : 111,1 Ko

    L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

    Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le noyb à la suite de la décision dite "Schrems II".

    Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

    Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles") qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

    « En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

    « En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».

    La CNIL rejoint l'avis de son homologue autrichien quelques semaines plus tard et met en demeure la gestion de sites français

    La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitements qui transfèreraient des données personnelles vers les États-Unis.

    Une analyse au niveau européen

    La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l'arrêt « Schrems II » de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.

    Les conséquences au niveau français

    La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

    Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

    Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

    La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire, en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

    Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

    D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.

    L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement.

    Source : CNIL

    Et vous ?

    Quelle lecture en faites-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 452
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 452
    Points : 5 579
    Points
    5 579
    Par défaut
    La CNIL et l'ANSSI doivent être les garde-fous contre l'euphorie des entreprises face à l'argent généré par le numérique. Sécurité et confidentialité deviennent les maîtres mots de la transformation numérique en Europe pour conserver ou reprendre notre souveraineté sur les données privées.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    avril 2010
    Messages
    12
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : avril 2010
    Messages : 12
    Points : 24
    Points
    24
    Par défaut
    On attend donc la prochaine mise à jour du site developpez.net pour se mettre en conformité (?)

  4. #4
    Membre régulier
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    mai 2017
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mai 2017
    Messages : 6
    Points : 73
    Points
    73
    Par défaut
    Ce n'est pas près de s'arrêter. Quand je vois le nombre de sites qui font appel à ce genre de composants. Après on vient se plaindre de la prédominence de Google cf googletagsevice et google syndicators entre autres. Idem sur Developpez.net.

  5. #5
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 355
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 355
    Points : 47 483
    Points
    47 483
    Par défaut À partir de 2023, Universal Analytics sera remplacé par Google Analytics 4 qui ne collecte pas les adresses IP
    Google Analytics va cesser de collecter les adresses IP : les entreprises devront bientôt passer à la version 4 de Google Analytics, qui va remplacer Universal Analytics, à partir de 2023

    Pour l'instant, Universal Analytics est la version standard de Google Analytics. À partir de 2023, Universal Analytics sera progressivement supprimé et remplacé par Google Analytics 4.

    Universal Analytics assure le suivi des cookies des utilisateurs par défaut ; Google Analytics 4 ne le fait pas. Certaines options peuvent être activées, mais la plupart sont désactivées par défaut. En outre, pour éviter tout conflit éventuel avec la vie privée, le stockage des adresses IP sera entièrement supprimé de Google Analytics 4.

    Ces derniers mois, Google Analytics a fait l'objet d'une pression croissante de la part des régulateurs européens de la vie privée. Plusieurs régulateurs appellent les entreprises à éviter complètement le logiciel. Google aborde implicitement la question en supprimant Universal Analytics.

    Google a fourni un calendrier pour la transition d'Universal Analytics vers Google Analytics 4. Toutes les installations standard d'Universal Analytics cesseront de fonctionner le 1er juillet 2023. La version professionnelle d'Universal Analytics 360 continuera de fonctionner jusqu'au 1er octobre 2023. Les entreprises auront encore accès aux anciennes données pendant six mois après cette date. Dans l'intervalle, elles sont tenues d'effectuer une mise à jour vers Google Analytics 4.

    Nom : GA4.jpg
Affichages : 3380
Taille : 35,7 Ko

    Source : Google

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics, le recours à Google Analytics va-t-il être remis en cause en Europe ?

    L'approche de Google dans le remplacement des cookies tiers à des fins publicitaires attire l'attention des régulateurs antitrust, qui cherchent à savoir comment le secteur de la pub en sera affecté

    Google progresse dans sa lutte contre les cookies tiers sur son navigateur, et commence à tester des outils de substitution comme son API Trust Token

    Google affirme qu'il n'utilisera pas de nouvelles méthodes de pistage, tandis qu'il procède progressivement à la suppression des cookies tiers à des fins publicitaires de son navigateur
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

Discussions similaires

  1. La CNIL met en demeure les entreprises Teemo et Fidzup
    Par Christian Olivier dans le forum Actualités
    Réponses: 3
    Dernier message: 21/07/2018, 09h27
  2. La CNIL émet un avertissement public pour le Parti Socialiste
    Par Stéphane le calme dans le forum Actualités
    Réponses: 5
    Dernier message: 31/10/2016, 11h47
  3. Android : Google met en demeure un développeur
    Par Gordon Fowler dans le forum Actualités
    Réponses: 14
    Dernier message: 01/10/2009, 09h49
  4. Réponses: 6
    Dernier message: 05/06/2008, 00h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo