Discussion :

[Stéphane le calme]

La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics,
Le recours à Google Analytics va-t-il être remis en cause en Europe ?

Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français (à l'identité non communiquée) de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles.

Le gestionnaire de site dispose d’un mois pour se mettre en conformité. Plusieurs solutions sont possibles. Soit il cesse d’utiliser Google Analytics en l’état, soit une solution est trouvée pour qu’il n’y ait pas de transfert hors de l’Union européenne. D’une manière générale, la CNIL recommande que les services de mesure et d’analyse d’audience servent uniquement à produire des données statistiques anonymes permettant l’exemption de consentement.

Google Analytics n'est pas le seul concerné : des outils supplémentaires seraient également dans le collimateur des gendarmes de protection des données à l'instar de Facebook Connect, qui permet de se connecter sur un site tiers à partir de son compte Facebook.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1^er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

À propos de Google Analytics, NOYB a estimé que :

Décision pertinente pour presque tous les sites web de l'UE. Google Analytics est le programme de statistiques le plus courant. Bien qu'il existe de nombreuses alternatives hébergées en Europe ou pouvant être autohébergées, de nombreux sites web s'appuient sur Google et transmettent ainsi leurs données d'utilisateur à la multinationale américaine. Le fait que les autorités de protection des données puissent désormais progressivement déclarer les services américains illégaux exerce une pression supplémentaire sur les entreprises de l'UE et les fournisseurs américains pour qu'ils se tournent vers des options sûres et légales, comme l'hébergement en dehors des États-Unis.

Solution à long terme. À long terme, il semble y avoir deux options : soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique, soit les fournisseurs américains devront héberger des données étrangères en dehors des États-Unis.

Max Schrems : « À long terme, soit nous avons besoin de protections adéquates aux États-Unis, soit nous nous retrouvons avec des produits séparés pour les États-Unis et l'UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain et de personne en Europe ».

L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le noyb à la suite de la décision dite "Schrems II".

Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles") qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».

La CNIL rejoint l'avis de son homologue autrichien quelques semaines plus tard et met en demeure la gestion de sites français

La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitements qui transfèreraient des données personnelles vers les États-Unis.

Une analyse au niveau européen

La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l'arrêt « Schrems II » de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.

Les conséquences au niveau français

La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire, en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.

L’enquête de la CNIL et de ses homologues s’étend également à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis. Des mesures correctrices à ce sujet pourraient être adoptées prochainement.

Source : CNIL

Et vous ?

Quelle lecture en faites-vous ?

[marsupial]

La CNIL et l'ANSSI doivent être les garde-fous contre l'euphorie des entreprises face à l'argent généré par le numérique. Sécurité et confidentialité deviennent les maîtres mots de la transformation numérique en Europe pour conserver ou reprendre notre souveraineté sur les données privées.

[pandark]

On attend donc la prochaine mise à jour du site developpez.net pour se mettre en conformité (?)

[CRISTALDARK]

Ce n'est pas près de s'arrêter. Quand je vois le nombre de sites qui font appel à ce genre de composants. Après on vient se plaindre de la prédominence de Google cf googletagsevice et google syndicators entre autres. Idem sur Developpez.net.

[Sandra Coret]

Google Analytics va cesser de collecter les adresses IP : les entreprises devront bientôt passer à la version 4 de Google Analytics, qui va remplacer Universal Analytics, à partir de 2023

Pour l'instant, Universal Analytics est la version standard de Google Analytics. À partir de 2023, Universal Analytics sera progressivement supprimé et remplacé par Google Analytics 4.

Universal Analytics assure le suivi des cookies des utilisateurs par défaut ; Google Analytics 4 ne le fait pas. Certaines options peuvent être activées, mais la plupart sont désactivées par défaut. En outre, pour éviter tout conflit éventuel avec la vie privée, le stockage des adresses IP sera entièrement supprimé de Google Analytics 4.

Ces derniers mois, Google Analytics a fait l'objet d'une pression croissante de la part des régulateurs européens de la vie privée. Plusieurs régulateurs appellent les entreprises à éviter complètement le logiciel. Google aborde implicitement la question en supprimant Universal Analytics.

Google a fourni un calendrier pour la transition d'Universal Analytics vers Google Analytics 4. Toutes les installations standard d'Universal Analytics cesseront de fonctionner le 1er juillet 2023. La version professionnelle d'Universal Analytics 360 continuera de fonctionner jusqu'au 1er octobre 2023. Les entreprises auront encore accès aux anciennes données pendant six mois après cette date. Dans l'intervalle, elles sont tenues d'effectuer une mise à jour vers Google Analytics 4.

Source : Google

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La CNIL met en demeure un gestionnaire de sites français pour son usage de Google Analytics, le recours à Google Analytics va-t-il être remis en cause en Europe ?

L'approche de Google dans le remplacement des cookies tiers à des fins publicitaires attire l'attention des régulateurs antitrust, qui cherchent à savoir comment le secteur de la pub en sera affecté

Google progresse dans sa lutte contre les cookies tiers sur son navigateur, et commence à tester des outils de substitution comme son API Trust Token

Google affirme qu'il n'utilisera pas de nouvelles méthodes de pistage, tandis qu'il procède progressivement à la suppression des cookies tiers à des fins publicitaires de son navigateur

[Stéphane le calme]

La CNIL italienne interdit à son tour l'utilisation de Google Analytics,
parce qu'elle n'a « pas trouvé de garanties adéquates pour les transferts de données vers les États-Unis »

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le noyb à la suite de la décision dite "Schrems II".

Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».

La CNIL rejoint l'avis de son homologue autrichien quelques semaines plus tard et met en demeure la gestion de sites français

La CNIL a été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites Web utilisant Google Analytics. Au total, 101 réclamations ont été déposées par NOYB dans les 27 États membres de l’Union européenne et les trois autres États de l’espace économique européen (EEE) à l’encontre de 101 responsables de traitements qui transfèreraient des données personnelles vers les États-Unis.

Une analyse au niveau européen

La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. Il s’agit notamment de tirer collectivement les conséquences de l'arrêt « Schrems II » de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020, ayant invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés.

Les conséquences au niveau français

La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire, en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

Concernant les services de mesure et d’analyse d’audience d’un site Web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

D’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics.

La Cnil italienne à son tour s'oppose à l'utilisation de Google Analytics

Un site Web utilisant Google Analytics (GA) sans les garanties définies dans le RGPD de l'UE enfreint la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, qui est un pays sans niveau de protection des données adéquat.

La CNIL italienne est parvenue à cette conclusion après un exercice d'enquête complexe qu'elle avait entamé en étroite coordination avec d'autres autorités de protection des données de l'UE à la suite de plaintes qu'elle avait reçues. La CNIL italienne a constaté que les opérateurs de sites Web utilisant GA recueillaient, avec des cookies, des informations sur les interactions des utilisateurs avec les sites Web respectifs, les pages visitées et les services proposés. L'ensemble varié de données collectées à cet égard comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page. Ces informations ont été transférées aux États-Unis. En déterminant que le traitement était illégal, la CNIL italienne a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'elle détient.

Sur la base des conclusions ci-dessus, la CNIL italienne a adopté une décision, qui sera suivie d'autres, réprimandant Caffeina Media S.r.l. – un exploitant de site internet – et lui ordonnant de mettre le traitement en conformité avec le RGPD dans un délai de quatre-vingt-dix jours. Ce délai a été jugé approprié afin de permettre à l'opérateur de mettre en œuvre des mesures adéquates dans le cadre du transfert de données*; s'il s'avère que ce n'est pas le cas, la suspension des flux de données liés à l'AG vers les États-Unis sera ordonnée.

La CNIL italienne a souligné, en particulier, que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises*; elle a souligné à cet égard que les mesures adoptées par Google pour compléter les instruments de transfert de données n'assuraient pas un niveau de protection adéquat des données personnelles des utilisateurs à la lumière des orientations fournies par le CEPD à travers ses recommandations n° 1/2020 du 18 juin 2021.

La CNIL italienne souhaite attirer l'attention de tous les opérateurs de sites Web italiens, publics et privés, sur l'illégalité des transferts de données vers les États-Unis résultant de l'utilisation de GA - en partie en raison des nombreuses alertes et requêtes reçues jusqu'à présent. La CNIL italienne appelle tous les responsables du traitement à vérifier que l'utilisation de cookies et d'autres outils de suivi sur leurs sites Web est conforme à la loi sur la protection des données*; ceci s'applique en particulier à Google Analytics et aux services similaires.

À l'expiration du délai de 90 jours fixé dans sa décision, la CNIL italienne vérifiera que les transferts de données en cause sont conformes au RGPD de l'UE, y compris au moyen d'inspections ad hoc.

Source : communiqué de la CNIL italienne

Et vous ?

Que pensez-vous de cette décision ?

Voir aussi :

L'approche de Google dans le remplacement des cookies tiers à des fins publicitaires attire l'attention des régulateurs antitrust, qui cherchent à savoir comment le secteur de la pub en sera affecté
Google progresse dans sa lutte contre les cookies tiers sur son navigateur, et commence à tester des outils de substitution comme son API Trust Token
Google affirme qu'il n'utilisera pas de nouvelles méthodes de pistage, tandis qu'il procède progressivement à la suppression des cookies tiers à des fins publicitaires de son navigateur

[walfrat]

La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Or, la CNIL a constaté que ce n’était pas le cas. En effet, si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

Je trouve ça un peu gonflé, ils savent très bien que c'est la loi américaine qui oblige a permettre l'accès a tout ce qui est hébergé aux USA et ils accusent Google.
Il n'y a aucun cadre qui permettre de régler ça tant que les données seront hébergés aux USA, point final.

[Anselme45]

En quoi les données collectées par Google Analytics posent problèmes? Il s'agit simplement d'informations indiquant l'origine des visites d'un site web...

Par contre, l'outil de recherche de Google lui est un vrai système d'espionnage généralisé permettant de faire le profil détaillé de l'utilisateur: Mme Michu dont l'adresse IP est xxx, dont le numéro de téléphone mobile est xxx, fait de l'équitation (elle a cherché "bottes d'équitation"), a une ado qui est entrée en age de prendre une pilule contraceptive (elle a fait une recherche "ado contraception"), est atteinte d'un mal de dent (a cherché "dentiste Strasbourg" et donc... habite Strasbourg), roule en Renault clio, a un cancer du sein, etc, etc, etc...

En croisant les données avec les autres services web propriétés de Google, Google peut compléter le profil obtenu avec la photo de la personne, son identité (nom, prénom, adresse), sa profession y compris le CV de toute sa vie professionnelle, la photo de la porte d'entrée de l'habitation de Mme Michu (amusant, il y a une niche, donc un chien). Au final, Google en sait plus sur Mme Michu que les services de l'Etat ou que son médecin traitant... Mieux encore, Google peut la suivre tout au long de la journée grâce à son téléphone Android que Mme Michu garde avec elle comme un "doudou" même lorsqu'elle va faire une pose "détente" au WC!


Mais là, cela ne pose pas le moindre problème à aucune CNIL de quelque pays que se soit!


Ou comment se moquer du monde en 10 leçons: Il s'agit juste de gesticulations dont le seul but est de faire croire au citoyen moyen que des CNIL défendent et protègent leur intérêts

[beepee]

soit il manque des cases aux intervenants.
dans ce cas, il vaut mieux être bourré plutôt que con, bourré, ça dure moins longtemps tandis que con....c'est éternel.

[TotoParis]

J'ai déjà vu des sites sur le Dark Web utiliser Google Analytics...J'avoue que j'ai été des plus surpris. Et un site web vendant des trucs pas légaux, hein...Enfin qui semble être un vrai site web illégal sur le Dark Web...Toujours regarder le code source HTML des sites du Dark Web...

[Stéphane le calme]

L'Agence danoise de protection des données conclut que Google Analytics ne peut pas être utilisé légalement,
l'utilisation licite nécessite « la mise en place de mesures supplémentaires »

En janvier 2022, l'autorité autrichienne de protection des données a rendu une décision sur l'utilisation de Google Analytics par une organisation autrichienne. À son tour, l'Agence danoise de protection des données a examiné l'outil Google Analytics, ses paramètres et les conditions dans lesquelles l'outil est fourni. Sur la base de cet examen, l'Agence danoise de protection des données conclut que l'outil ne peut, sans plus, être utilisé légalement. L'utilisation licite nécessite la mise en place de mesures supplémentaires en plus des paramètres fournis par Google.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

Le 13 janvier 2022, l'autorité autrichienne de protection des données a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. La CNIL française a elle aussi été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites Web utilisant Google Analytics.

La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Un site Web utilisant Google Analytics (GA) sans les garanties définies dans le RGPD de l'UE enfreint la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, qui sont un pays sans niveau de protection des données adéquat.

La CNIL italienne est parvenue à cette conclusion après un exercice d'enquête complexe qu'elle avait entamé en étroite coordination avec d'autres autorités de protection des données de l'UE à la suite de plaintes qu'elle avait reçues. La CNIL italienne a constaté que les opérateurs de sites Web utilisant GA recueillaient, avec des cookies, des informations sur les interactions des utilisateurs avec les sites Web respectifs, les pages visitées et les services proposés. L'ensemble varié de données collectées à cet égard comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page. Ces informations ont été transférées aux États-Unis. En déterminant que le traitement était illégal, la CNIL italienne a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'elle détient.

Sur la base des conclusions ci-dessus, la CNIL italienne a adopté une décision, qui sera suivie d'autres, réprimandant Caffeina Media S.r.l. – un exploitant de site internet – et lui ordonnant de mettre le traitement en conformité avec le RGPD dans un délai de quatre-vingt-dix jours. Ce délai a été jugé approprié afin de permettre à l'opérateur de mettre en œuvre des mesures adéquates dans le cadre du transfert de données ; s'il s'avère que ce n'est pas le cas, la suspension des flux de données liés à l'AG vers les États-Unis sera ordonnée.

La CNIL italienne a souligné, en particulier, que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises ; elle a souligné à cet égard que les mesures adoptées par Google pour compléter les instruments de transfert de données n'assuraient pas un niveau de protection adéquat des données personnelles des utilisateurs à la lumière des orientations fournies par le CEPD.

En tout, ce sont les CNIL autrichienne, française et italienne qui ont dit « non » à Google Analytics.

Une analyse paneuropéenne

Bien que les cas individuels aient été tranchés individuellement par les autorités de contrôle respectives qui ont reçu la plainte initiale, les décisions représentent une position européenne commune parmi les autorités de contrôle. Il est essentiel, tant pour les organisations qui traitent des données à caractère personnel que pour les citoyens dont les données à caractère personnel sont traitées, que la législation européenne sur la protection des données soit interprétée de manière uniforme dans l'ensemble de l'UE/EEE. Comme l'objet des plaintes déposées était exactement le même, les cas ont été traités ensemble par un groupe de travail sous les auspices du comité européen de la protection des données. Au Danemark, les questions juridiques ainsi que la manière dont elles devraient être évaluées ont été discutées.

« Le RGPD est fait pour protéger la vie privée des citoyens européens. Cela signifie, entre autres, que vous devriez pouvoir visiter un site Web sans que vos données se retrouvent entre de mauvaises mains. Nous avons soigneusement examiné les paramètres possibles de Google Analytics et sommes arrivés à la conclusion que vous ne pouvez pas utiliser l'outil dans sa forme actuelle sans mettre en œuvre des mesures supplémentaires », a déclaré Makar Juhl Holst, conseiller juridique principal à l'Agence danoise de protection des données.

Et de préciser :

« Depuis les décisions de nos confrères européens, nous nous sommes penchés sur l'outil et les paramètres spécifiques dont vous disposez lorsque vous envisagez d'utiliser Google Analytics. Cela a été particulièrement pertinent, car Google, à la suite de la première décision autrichienne, a commencé à fournir des paramètres supplémentaires en ce qui concerne les données pouvant être collectées par l'outil. Cependant, notre conclusion est que l'outil ne peut pas, sans plus, être utilisé légalement ».

Conséquences pour les organisations danoises

Le fait que les cas véhiculent une position paneuropéenne parmi les autorités de contrôle signifie également que, dans un cas spécifique avec des circonstances similaires, l'Agence danoise de protection des données parviendra au même résultat que ses collègues européens.

Les organisations au Danemark qui utilisent Google Analytics doivent donc évaluer si leur éventuelle utilisation continue de l'outil est conforme à la loi sur la protection des données. Si ce n'est pas le cas, l'organisme doit soit mettre en conformité son utilisation de l'outil, soit, le cas échéant, cesser d'utiliser l'outil.

Une tâche très importante pour l'Agence danoise de protection des données est de donner des conseils aux citoyens sur leurs droits et de donner des conseils aux organisations danoises sur la manière dont elles se conforment à la législation sur la protection des données. Comme c'est le cas avec la loi sur la protection des données, l'Agence danoise de protection des données est neutre vis-à-vis de la technologie et n'a donc aucun intérêt à approuver ou à interdire certains produits.

« Nous ne sommes pas du tout habilités à le faire », a ajouté Makar Juhl Holst. Et de poursuivre en disant : « Suite aux décisions de nos confrères européens, nous avons cependant connu une forte demande d'accompagnement par rapport spécifiquement à Google Analytics, et nous avons donc fait un effort pour approfondir cet outil spécifique ».

Que doivent faire les organisations au Danemark si elles utilisent Google Analytics aujourd'hui ?

L'Agence danoise de protection des données comprend que de nombreuses organisations utilisent déjà Google Analytics et que, dans le passé, il existait un moyen facilement accessible de transférer des données personnelles aux États-Unis sous la forme d'une soi-disant décision d'adéquation de la Commission européenne. Cependant, en juillet 2020, la Cour de justice de l'Union européenne a déclaré cette décision de la Commission invalide.

Par conséquent, le message de l'Agence danoise de protection des données est que si vous utilisez Google Analytics, vous devez mettre en place un plan pour mettre votre utilisation en conformité en mettant en place des mesures supplémentaires.

Une mesure technique possible qui peut être pertinente lors de l'utilisation de Google Analytics est la pseudonymisation. L'Autorité française de protection des données a créé des lignes directrices détaillées pour les organisations souhaitant établir une pseudonymisation efficace au moyen d'un proxy dit inverse.

S'il n'est pas possible de mettre en œuvre des mesures supplémentaires efficaces, vous devez cesser d'utiliser l'outil et, si nécessaire, trouver un autre outil pouvant fournir des analyses Web et permettant le respect de la loi sur la protection des données, par exemple en ne transférant pas les données personnelles des visiteurs à " pays tiers dangereux ».

Le Danemark interdit les Chromebooks et Google Workspace dans les écoles en raison des risques de transfert de données

Dans un verdict publié en juillet, l'agence danoise de protection des données, Datatilsynet, a révélé que le traitement des données des étudiants utilisant la suite logicielle Workspace (qui comprend Gmail, Google Docs, Calendar et Google Drive) ne répond pas aux exigences du règlement de l'Union européenne sur la protection des données (RGPD). Plus précisément, l'autorité a constaté que l'accord relatif au traitement des données - ou les conditions générales de Google - autorise apparemment le transfert de données vers d'autres pays dans le but de fournir une assistance, même si les données sont habituellement stockées dans l'un des centres de données européens de Google.

Les ordinateurs portables Chromebook de Google, et par extension Google Workspace, sont utilisés dans les écoles du Danemark. Mais l'agence danoise de protection des données s'est concentrée spécifiquement sur le cas Helsingor pour l'évaluation des risques après que la municipalité a signalé une violation de la sécurité des données personnelles en 2020. Bien que cette dernière décision ne s'applique techniquement qu'aux écoles d'Helsingor pour le moment, Datatilsynet note que bon nombre des conclusions auxquelles elle est parvenue s'appliqueront probablement à d'autres municipalités qui utilisent les Chromebooks et Workspace de Google. Datatilsynet a ajouté qu'elle s'attendait à ce que ces autres municipalités prennent les mesures nécessaires à la suite de la décision prise à Helsingor. L'interdiction a pris effet immédiatement à Helsingor.

Conseils de la CNIL française pour mettre vos outils analytiques conformes au RGPD

Source : agence danoise de protection des données

Et vous ?

Que pensez-vous de la décision de l'agence danoise de protection des données ?
Que pensez-vous des conseils de la CNIL française concernant la mise en conformité des outils analytiques ?

Voir aussi :

Les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser Gmail ou de cloud de Google, en raison de problèmes de confidentialité

[Stéphane le calme]

L'agence norvégienne de protection des données prend position contre Google Analytics,
estimant à son tour que son utilisation est « en violation des règles de transfert du RGPD »

Dans une plainte toujours en cours, l'autorité norvégienne de protection des données (Datatilsynet) est parvenue à la conclusion préliminaire que « l'utilisation de Google Analytics était en violation des règles de transfert du RGPD ». L'autorité a rendu les conclusions publiques sur son site Internet (en norvégien uniquement) et prévoit d'adopter une décision finale « au plus tôt fin avril ».

Bien sûr, l'autorité pourrait arriver à une conclusion différente à la fin. Mais nous avons de bonnes raisons de croire que ce ne sera pas le cas et que la Norvège pourrait bientôt rejoindre l'Autriche, la France, l'Italie, la Finlande et le Danemark et interdire pratiquement Google Analytics.

L'accord « Privacy Shield » est venu remplacer l'accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l'Union européenne et les États-Unis, a été annulé par la Cour de justice de l'Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C'est ainsi qu'a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui a activé la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de NOYB.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d'en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou " DSB " a décidé sur un cas modèle par NOYB que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le NOYB à la suite de la décision dite "Schrems II".

Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».

Vient alors la Norvège

La conclusion préliminaire de l'Autorité norvégienne de protection des données est que l'utilisation de Google Analytics n'est pas conforme au règlement sur la protection des données personnelles.

L'organisation NOYB a déposé une plainte contre un certain nombre de sites Web européens auprès des autorités de contrôle des données de l'EEE. Le contexte est que NOYB pense que les sites Web transfèrent des données personnelles hors de l'EEE en violation du règlement sur la protection des données personnelles (RGPD) en utilisant l'outil d'analyse américain Google Analytics.

L'un des sites Web incriminés, telenor.com, est norvégien et utilisait auparavant Google Analytics. L'Autorité norvégienne de protection des données a donc enquêté sur cette affaire. Notre conclusion préliminaire est que l'utilisation de Google Analytics a enfreint les règles de transfert du RGPD. Nous avons maintenant envoyé un préavis aux parties à l'affaire, afin qu'elles aient la possibilité de commenter les conclusions avant que nous ne prenions une décision.

Les parties aux affaires ont la possibilité de commenter l'affaire avant qu'elle ne prenne une décision formelle.

Mais voici pourquoi la situation est peu susceptible de changer.

Google Analytics et le transfert de données

Les problèmes juridiques de Google Analytics avec le RGPD ne sont pas nouveaux : comme nous l'avons noté, d'autres autorités de protection des données ont déjà adopté une position ferme. La plupart de leurs décisions résultent d'un ensemble coordonné de plaintes déposées par l'ONG de protection de la vie privée NOYB, dans un effort stratégique pour pousser les autorités de protection des données vers une application plus stricte des règles de transfert de données du RGPD et de l'arrêt Schrems II de la Cour de justice de l'UE.

Les plaintes de NOYB ont toutes les mêmes arguments : l'utilisation de Google Analytics nécessite le transfert de données personnelles (cookies et adresses IP) à Google LLC, basée en Californie. Mais ce transfert expose les données au risque de surveillance étatique aux États-Unis. Pour cette raison, les données à caractère personnel doivent être protégées par des garanties adéquates contre la surveillance, comme l'a établi la Cour de justice dans l'affaire Schrems II. NOYB affirme que les transferts de données ne disposent pas de ces garanties requises (généralement appelées mesures supplémentaires dans le jargon). Cela rend l'utilisation de Google Analytics incompatible avec le RGPD et l'arrêt Schrems II. Jusqu'à présent, les autorités autrichiennes, françaises et italiennes ont été d'accord avec NOYB, et les autorités danoises et finlandaises ont adopté la même position dans des circonstances différentes.

Qu'ont dit exactement les autres autorités ?

Pour mémoire, toutes les plaintes et décisions concernent techniquement des sites Web spécifiques. C'est pourquoi nous disons que Google Analytics est pratiquement interdit dans certains pays. En théorie, un site Web différent pourrait utiliser Google Analytics légalement en mettant en œuvre des protections différentes et meilleures. Mais la théorie est le mot clef ici. Dans la pratique, il existe très peu de garanties contre la surveillance de l'État. Assurer la sécurité du transfert de données est difficile pour de nombreux services et pratiquement impossible pour Google Analytics, car il est construit autour de cookies et doit traiter les identifiants de cookies en clair pour fonctionner. Ainsi, chaque décision revient pratiquement à une interdiction à l'échelle de l'État, c'est pourquoi les problèmes juridiques de Google attirent beaucoup l'attention de la communauté de la confidentialité.

Que peut-on attendre de la décision ?

Nous n'avons pas de boule de cristal, mais nous pouvons faire une supposition éclairée sur la base d'une vue d'ensemble. Les autorités ont jusqu'à présent abordé les plaintes de NOYB de la même manière. En effet, ils ont coordonné leur démarche au niveau européen, comme le note Datatilsynet lui-même dans son communiqué. C'est pourquoi l'autorité norvégienne se prononcera probablement contre l'utilisation de Google Analytics à terme. Il convient de noter que le Datatilsynet traite la plainte comme un cas transfrontalier. En pratique, cela signifie que d'autres autorités européennes peuvent jouer un rôle en soulevant des objections. Mais nous ne nous attendons pas à ce que cela se produise. L'année dernière, l'autorité française a également soumis sa décision contre Google Analytics à d'autres autorités, et aucune objection n'a été soulevée à ce moment-là.

L'image d'ensemble

Il existe de nombreuses alternatives respectueuses de la vie privée à Google Analytics. Nous pensons qu'une interdiction de Google Analytics n'est pas la fin du monde. Mais le problème des transferts de données est plus important que Google Analytics. De nombreux services basés aux États-Unis nécessitent des transferts de données personnelles et pourraient ensuite être critiqués. Abandonner Google Analytics est relativement facile, mais se passer de services comme Oracle et AWS est une autre histoire. C'est pourquoi les États-Unis et la Commission européenne ont négocié un nouveau cadre de transfert de données pour faciliter les transferts de données et ont pris des mesures pour les mettre en œuvre. En décembre 2022, la Commission a rédigé une décision d'adéquation pour les États-Unis - essentiellement une décision qui facilite grandement les transferts de données avec un pays spécifique. La décision attend l'approbation des États membres et sera certainement contestée devant les tribunaux. Il convient de noter que la Cour de justice de l'UE a déjà invalidé deux décisions d'adéquation pour les États-Unis dans les affaires Schrems I et II. Il est difficile de dire comment une affaire «Schrems III» se déroulera. Pour le moment, l'avenir des transferts de données reste incertain.

Conclusion

Même histoire. Pays différent. Rien de nouveau à voir ici, car nous avons vu différents pays de l'UE arriver à la même conclusion que les autorités norvégiennes. Cependant, chaque pays prenant position contre Google Analytics renforce les arguments en faveur d'une meilleure protection des données. Google a répondu à l'appel toujours croissant pour plus de confidentialité en passant à Google Analytics 4. Cependant, Google Analytics 4 ne résout pas ce problème.

Pour l'instant, Universal Analytics est la version standard de Google Analytics. Dès cette année, Universal Analytics sera progressivement supprimé et remplacé par Google Analytics 4.

Universal Analytics assure le suivi des cookies des utilisateurs par défaut ; Google Analytics 4 ne le fait pas. Certaines options peuvent être activées, mais la plupart sont désactivées par défaut. En outre, pour éviter tout conflit éventuel avec la vie privée, le stockage des adresses IP sera entièrement supprimé de Google Analytics 4.

Ces derniers mois, Google Analytics a fait l'objet d'une pression croissante de la part des régulateurs européens de la vie privée. Plusieurs régulateurs appellent les entreprises à éviter complètement le logiciel. Google aborde implicitement la question en supprimant Universal Analytics.

Google a fourni un calendrier pour la transition d'Universal Analytics vers Google Analytics 4. Toutes les installations standard d'Universal Analytics cesseront de fonctionner le 1^er juillet 2023. La version professionnelle d'Universal Analytics 360 continuera de fonctionner jusqu'au 1^er octobre 2023. Les entreprises auront encore accès aux anciennes données pendant six mois après cette date. Dans l'intervalle, elles sont tenues d'effectuer une mise à jour vers Google Analytics 4.

Source : Autorité norvégienne de protection des données

Et vous ?

Que pensez-vous de la décision de l'Autorité norvégienne ? Êtes-vous surpris de la voir emboîter le pas à ses consœurs française, danoise, autrichienne et italienne ?
Vers une suspension européenne de Google Analytics ?
Des alternatives européennes intéressantes existent-elles ? Si oui, lesquelles pouvez-vous recommander ?

[Sandra Coret]

Quatre entreprises doivent cesser d'utiliser Google Analytics, suite à un contrôle sur la manière dont elles transfèrent des données à caractère personnel aux États-Unis, par l'autorité suédoise de protection de la vie privée

L'autorité suédoise de protection de la vie privée (IMY) a contrôlé la manière dont quatre entreprises utilisent Google Analytics pour leurs statistiques web. Selon l'article publié sur leur site, L'IMY a infligé des amendes administratives à deux de ces entreprises. L'une d'entre elles a récemment cessé d'utiliser l'outil statistique de sa propre initiative, tandis que l'IMY ordonne aux trois autres de cesser également de l'utiliser.

L'IMY a contrôlé la manière dont quatre entreprises transfèrent des données à caractère personnel aux États-Unis en utilisant Google Analytics, un outil de mesure et d'analyse du trafic sur les sites web. Les entreprises contrôlées sont CDON, Coop, Dagens Industri et Tele2. Les audits concernent une version de Google Analytics à partir du 14 août 2020.

Les audits sont basés sur des plaintes de l'organisation None of Your Business (NOYB) à la lumière de l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE). Les plaintes déclaraient que les entreprises, en violation de la loi, transfèrent des données à caractère personnel aux États-Unis.

Selon le règlement sur la protection des données, le RGPD, les données personnelles peuvent être transférées vers des pays tiers, c'est-à-dire des pays en dehors de l'UE/EEE, si la Commission européenne a décidé que le pays en question a un niveau de protection adéquat pour les données personnelles qui correspond à celui au sein de l'UE/EEE. Toutefois, la CJUE a décidé, dans l'arrêt Schrems II, que les États-Unis ne pouvaient pas être considérés comme ayant un tel niveau de protection adéquat à l'époque de l'arrêt.

Dans ses audits, IMY considère que les données transférées aux États-Unis avec l'outil de statistiques de Google sont des données à caractère personnel, car elles peuvent être liées à d'autres données uniques transférées. L'autorité conclut également que les mesures de sécurité technique prises par les entreprises ne sont pas suffisantes pour assurer un niveau de protection correspondant pour l'essentiel à celui garanti au sein de l'UE/EEE.

- "Le fait que l'IMY ait statué sur ces affaires en même temps que sur les autres montre clairement quelles sont les exigences en matière de mesures de sécurité technique et d'autres mesures lors du transfert de données à caractère personnel vers un pays tiers, en l'occurrence les États-Unis", a déclaré la conseillère juridique Sandra Arvidsson, qui a dirigé les audits des entreprises.

En l'absence de décision de la Commission européenne sur le niveau de protection adéquat, les données peuvent être transférées sur la base de clauses contractuelles types décidées par la Commission européenne. Toutefois, selon la CJUE, ces clauses contractuelles types pourraient devoir être complétées par des garanties supplémentaires s'il est nécessaire que la protection que les clauses sont censées assurer soit maintenue dans la pratique.

Les quatre entreprises ont fondé leurs décisions concernant le transfert de données à caractère personnel avec Google Analytics sur des clauses contractuelles types. Il ressort des audits de l'IMY qu'aucune des mesures de sécurité technique supplémentaires prises par les entreprises n'est suffisante. L'IMY inflige une amende administrative de 12 millions de SEK à Tele2 et de 300 000 SEK à CDON, qui n'a pas pris les mêmes mesures de protection étendues que Coop et Dagens Industri. Tele2 a récemment cessé d'utiliser l'outil statistique de sa propre initiative. IMY ordonne aux trois autres entreprises de cesser d'utiliser l'outil.

- "Ces décisions ont des implications non seulement pour ces quatre entreprises, mais peuvent également servir de guide pour d'autres organisations qui utilisent Google Analytics", déclare Sandra Arvidsson.

Source : IMY

Et vous ?

Trouvez-vous cet article de l'IMY pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été
Selon une page récemment publiée sur son site Web

5 ans après, 15 experts du stockage des données se prononcent sur le RGPD : le RGPD a-t-il été un succès, un échec ou quelque chose entre les deux ? Le RGPD a-t-il atteint les objectifs fixés ?

L'Autorité norvégienne de protection des données prend position contre Google Analytics
Estimant à son tour que son utilisation est « en violation des règles de transfert du RGPD »

[Anselme45]

De toute manière à quoi sert encore Google Analytics?

Les données intéressantes pour le gestionnaire de sites web ont disparu les unes après les autres, plus de stats sur les mots-clé utilisés par les visiteurs, puis plus d'indication sur l'identité des visiteurs, plus de nom de domaine, plus d'adresse IP, etc, etc, etc...

Savoir que x connexions ont eu lieu depuis la Chine le 14 juillet 2022 dont 100% de robot (et oui parce que Google ne fait pas la différence entre un robot et Monsieur Duschmol fait de chair et d'os) n'est d'aucune utilité.

Google Analytics n'est plus qu'un logiciel espion au seul bénéfice de Google lui-même...

Alors autant le jeter à la poubelle... Ce que l'on fait maintenant systématiquement lors de la création d'un nouveau site ou la mise à jour d'un site existant!!!

[Dimitri_07]

Si vous voulez utiliser une alternative à Google Analytics, j'en ai développé une : https://eu-analytics.com

Elle respecte la vie privée des utilisateurs by design, pas de user agent / adresse ip stockée, aucun cookie posé chez les visiteurs, et toutes les données sont hébergées en France par les sociétés OVH et Scaleway, chiffrées. Si des gens veulent rejoindre le projet pour le faire décoller ou me donner un coup de main je suis preneur, je suis juste développeur et seul sur le projet pour l'instant, je n'ai aucun piston ou quoi que ce soit du genre.

Et pour être 100% transparent, les autres alternatives clean que j'ai trouvées : simple analytics, plausible.io, et matomo qui est recommandé par la CNIL, mais trop usine à gaz à mon gout, et hébergée en Allemagne dans sa version cloud.