Des hacktivistes italiens contre l'utilisation de Google Analytics

Image of Carlo Cilento

Publié le 27 oct. 2022 et modifié le 15 août 2023 par Carlo Cilento

Google Analytics est un sujet brûlant dans les milieux italiens de la protection de la vie privée et du marketing. L'autorité italienne de protection des données (GPDP) s'est prononcée contre GA en juin et a annoncé des enquêtes sur l'utilisation de l'outil par les entreprises et les administrations publiques.

Mais ce n'est pas tout : Le groupe hacktiviste MonitoraPA a envoyé des milliers de courriels demandant aux administrations d'abandonner GA et Google Fonts.

Il a également envoyé des avertissements similaires aux sites web des partis politiques italiens. En outre, il a transmis des milliers de demandes d'accès aux écoles italiennes, exigeant des informations sur le traitement des données des élèves. Dans le même temps, l'activiste italien Federico Leva a envoyé d'innombrables courriels à des sites web italiens utilisant GA pour obtenir l'effacement de ses données personnelles. Toutes ces demandes sont accompagnées d'une action en justice.

Il est difficile de comprendre ce qui se passe et quelles sont les implications, c'est pourquoi nous sommes ici pour faire la lumière. (Note : certains des liens figurant dans les textes suivants sont uniquement en italien, car il n'existe pas de couverture internationale pour certains de nos sujets).

  1. Qu'est-ce qui ne va pas avec Google Analytics ?
  2. Monitora PA et sa campagne contre Google Analytics
    1. Les demandes de suppression de Monitora PA
    2. Les demandes d'accès de Monitora PA
    3. La "spéciale élections" de Monitora PA
    4. Les courriels de Federico Leva
    5. Critiques
  3. Réflexions finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Plongeons dans le vif du sujet !

Qu'est-ce qui ne va pas avec Google Analytics ?

Nous avons déjà écrit en long et en large sur les problèmes de conformité de Google Analytics, alors voici un bref récapitulatif :

En 2020, l'arrêt Schrems II a conclu que le cadre juridique américain ne pouvait pas assurer une protection suffisante des données européennes en raison du caractère invasif des pratiques de surveillance américaines.

Peu après l'arrêt Schrems II, l'ONG autrichienne noyb a déposé 101 plaintes concernant des transferts de données dans le cadre d'un effort stratégique visant à inciter les autorités chargées de la protection des données à appliquer strictement l'arrêt Schrems II. Les autorités de protection des données ont coordonné leur approche des plaintes au niveau européen et, en conséquence, trois autorités de protection des données se sont prononcées contre l'utilisation de Google Analytics jusqu'à présent (l'ORD autrichien, la CNIL française et le GPDP italien). En outre, l'autorité danoise a adopté la même position que les autres dans un communiqué de presse.

D'autres autorités de protection des données sont susceptibles d'adopter des positions similaires à l'avenir. La CNIL et le GPDP sont des autorités de protection des données respectées et influentes, et d'autres suivront probablement leur exemple. N'oublions pas non plus que Meta Ireland a été condamné à une amende de 1,2 milliard d'euros et à suspendre les transferts de données pour les mêmes questions juridiques que celles en jeu dans les affaires Google Analytics.

Plus récemment, la Commission européenne et la Maison Blanche se sont mises d'accord sur un nouveau cadre pour les transferts de données. Toutefois, ce nouveau cadre semble encore problématique à certains égards et sera certainement contesté devant la CJUE. C'est pourquoi l'avenir des transferts transatlantiques de données reste incertain.

(Mises à jour : en 2023, le médiateur finlandais chargé de la protection des données et leDatatilsynet norvégien se sont également prononcés contre Google Analytics, bien que la décision norvégienne ne soit que préliminaire. En outre, une longue bataille juridique sur les transferts de données de Meta a abouti à une amende de 1,2 milliard d'euros pour l'entreprise et à un ordre de suspension des transferts de données pour Facebook - nous avons discuté de cette affaire importante ici).

Monitora PA et sa campagne contre Google Analytics

Comme nous l'avons dit, les autorités autrichiennes, françaises, italiennes et danoises sont toutes sur la même longueur d'onde en ce qui concerne les transferts de données. Toutefois, la situation italienne est quelque peu particulière. Le citoyen italien Federico Leva et le groupe Monitora PA ont transmis des milliers de demandes liées à Google Analytics, en menaçant d'intenter une action en justice.

Les demandes de suppression de Monitora PA

Peu avant que le GPDP ne se prononce sur la première plainte relative à l'AG, le groupe d'hacktivistes Monitora PA (surveillance de l'administration publique) a transmis des milliers de courriels demandant aux administrations publiques de cesser d'utiliser Google Analytics et Google Fonts et menaçant d'intenter une action en justice devant le GPDP.

La campagne a suscité quelques critiques, mais elle a fonctionné jusqu'à présent. Fabio Pietrosanti, membre de Monitora PA, a indiqué que près de 8 000 administrations avaient été contactées et que plus de 3 000 d'entre elles avaient cessé d'utiliser Google Analytics.

Les demandes d'accès de Monitora PA

Monitora PA a également demandé à des milliers d'écoles des informations relatives au traitement de leurs données. Plus précisément, elle a demandé l'accès à plusieurs documents que les écoles sont tenues de conserver en vertu du GDPR et du droit administratif italien.

L'objectif de Monitora PA est d'évaluer le respect des règles de protection des données et éventuellement d'engager des poursuites judiciaires en cas de violation. Cette initiative ne concerne pas strictement les AG ou les transferts de données. Cependant, ils font partie du tableau puisque Monitora PA demande l'évaluation de l'impact du transfert pour chaque école, parmi d'autres documents.

La réalisation d'une EIT est l'une des obligations de l'exportateur de données1. C'est également dans le cadre des EIT que les mesures de sauvegarde supplémentaires pour les transferts de données sont énumérées et que leur efficacité est examinée. De nombreuses écoles utilisent les outils Google et les logiciels d'autres grandes entreprises technologiques, et il est difficile d'imaginer qu'elles ont toutes mis en place des mesures de protection efficaces. En fait, certaines écoles n'ont pas une idée claire de la manière dont les données des élèves sont traitées.

Il convient également de mentionner que la DPA danoise a récemment ordonné aux écoles de la municipalité d'Helsingor de supprimer Google Workplace en raison des transferts de données requis vers les États-Unis. Compte tenu de ce précédent, les demandes d'accès de Monitora PA pourraient donner lieu à une enquête sur l'utilisation des logiciels et autres outils de Google dans les écoles italiennes.

Monitora PA

La "spéciale élections" de Monitora PA

En septembre, Monitora PA a lancé une nouvelle campagne. Le groupe a constaté que de nombreux sites web de partis politiques italiens utilisaient Google Analytics et Google Fonts et leur a demandé de cesser d'utiliser ces outils. Monitora PA a ensuite déposé une plainte contre 47 sites web qui continuaient à utiliser GA ou GF.

Le suivi des utilisateurs sur les sites web des associations politiques est très problématique. Le scandale Cambridge Analytica devrait nous rappeler l'impact potentiel des pratiques de confidentialité sur la politique des pays démocratiques. Et d'un point de vue strictement juridique, les données collectées pourraient révéler les opinions politiques d'un utilisateur, ce qui constitue des données sensibles au sens du GDPR2- comme Monitora PA l'a souligné dans sa plainte.

Les courriels de Federico Leva

Au cours de l'été, l'activiste Federico Leva a envoyé des milliers de courriels à des sites web italiens utilisant GA, demandant l'effacement de ses données personnelles. Il a affirmé que l'utilisation de l'AG impliquait des transferts de données illégaux et que le traitement de ses données personnelles à des fins d'analyse du Web était illégal. Comme Monitora Pa, M. Leva menace d'intenter une action en justice si le responsable du traitement ne donne pas suite à ses demandes.

Critiques

Comme nous l'avons dit, les campagnes de Monitora PA et de M. Leva ont suscité des réactions divergentes dans les milieux juridiques et de la protection de la vie privée. Les critiques contre ces campagnes sont résumées dans un document récent : une lettre de notification au GPDP italien contre Monitora PA et Federico Leva, signée par de nombreux avocats italiens sous la coordination de l'avocat Andrea Lisi.

La lettre se plaint du fait que les courriels d'effroi constituent un moyen inapproprié de faire avancer un programme d'activisme par ailleurs légitime. D'un point de vue strictement juridique, la lettre affirme que ces campagnes massives de courriels peuvent violer certaines dispositions du GDPR. Elle affirme également que Monitora PA et M. Leva abusent des droits que leur confère le GDPR, puisqu'ils les exercent à des fins d'activisme plutôt que pour protéger leur vie privée.

Mais pour autant que nous le sachions, Monitora PA n'a jamais exercé de droits3 au titre du GDPR - ce qui est logique puisqu'elle n'en a pas, pour commencer4. Quant à M. Leva, l'avocat et membre du GPDP Guido Scorza a précisé dans une interview qu'il exerçait légitimement son droit à l'effacement en vertu du GDPR et que ses demandes devaient donc être acceptées. Bien entendu, la position de M. Scorza ne reflète pas nécessairement celle du GPDP, mais elle indique que toute plainte de M. Leva sera probablement prise au sérieux.

Réflexions finales

Les courriels de Monitora PA et de Federico Leva ont semé la panique. La menace d'une action en justice derrière leurs demandes est réelle, mais nous ne nous attendons pas à ce qu'il y ait une plainte pour chaque violation - la GDPD ne pourrait pas traiter autant de cas. Selon toute vraisemblance, seules les violations les plus graves seront portées à l'attention du GPDP.

Indépendamment de leur nature controversée, le débat suscité par ces campagnes est sain et permettra, espérons-le, d'attirer l'attention sur les implications en matière de protection de la vie privée des opérations quotidiennes de traitement des données dans les organisations privées et publiques. C'est une bonne chose.

La vie privée est un droit de l'homme, et les autorités européennes de protection des données montrent enfin les dents en interdisant Google Analytics dans son état actuel.

Non seulement Google Analytics ne fonctionne pas dans le respect de la loi, mais il ne contribue pas non plus à la création d'un web indépendant et convivial pour les visiteurs des sites web. Et pourquoi le feraient-ils ? Ils gagnent des milliards en traquant les internautes.

Chez Simple Analytics, nous pensons qu'il n'est pas nécessaire de pister les internautes ou de collecter des données personnelles pour obtenir les informations dont vous avez besoin. Nous croyons en la création d'un web indépendant et convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous contacter.

1 : Les DRM ne sont pas mentionnés dans le GDPR, mais la CJUE a déclaré dans l'affaire Schrems II que le responsable du traitement doit vérifier "si le droit du pays tiers de destination assure une protection adéquate (...) des données à caractère personnel" (par. 134). 2 : Article 9(1) GDPR. 9(1) GDPR. Le traitement des données sensibles est soumis à des règles plus strictes que les règles générales applicables au traitement des données à caractère personnel en vertu du GDPR 3 : Les courriers électroniques transmis aux administrations publiques peuvent être consultés ici et sur d'autres sites web italiens, et les droits des personnes concernées ne sont jamais mentionnés. Quant aux demandes de Monitora PA aux écoles, elles constituent une forme d'accès civique en vertu du droit administratif italien (art. 5(2) d. lgs. 33/2013, modifié ultérieurement par l'art. 6(1) d. lgs. ^4] : Monitora PA n'est pas une personne physique et ne peut donc pas être considérée comme une personne concernée. Voir les définitions de "données à caractère personnel" et de "personne concernée" à l'article 4, paragraphe 1, du RGPD.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours