L'Italie est devenue le troisième pays à s'opposer officiellement à l'utilisation de Google Analytics. La nouvelle est tombée aujourd'hui après qu'un examen minutieux a conclu que Google Analytics violait la loi GDPR. Vous pouvez consulter la déclaration ici.
Voir l'article complet ici
<blockquote><h2>La SA italienne interdit l'utilisation de Google Analytics</h2><h3>Absence de garanties adéquates pour les transferts de données vers les États-Unis</h3>
Un site web utilisant Google Analytics (GA) sans les garanties prévues par le GDPR de l'UE viole la loi sur la protection des données car il transfère les données des utilisateurs vers les États-Unis, un pays qui ne dispose pas d'un niveau adéquat de protection des données.
L'autorité italienne de surveillance est parvenue à cette conclusion à l'issue d'une enquête complexe qu'elle avait entamée en étroite coordination avec d'autres autorités européennes de protection des données à la suite de plaintes qu'elle avait reçues. L'autorité italienne de surveillance a constaté que les exploitants de sites web utilisant l'AG collectaient, par le biais de cookies, des informations sur les interactions des utilisateurs avec les sites web respectifs, les pages visitées et les services proposés. L'ensemble des données collectées dans ce cadre comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de la consultation de la page. Il s'est avéré que ces informations étaient transférées aux États-Unis. En déterminant que le traitement était illégal, l'AS italienne a rappelé qu'une adresse IP est une donnée personnelle et qu'elle ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir de telles données grâce à des informations supplémentaires qu'il détient.
Sur la base de ces constatations, l'autorité de contrôle italienne a adopté une décision, qui sera suivie d'autres décisions, réprimandant Caffeina Media S.r.l. - un exploitant de site web - et lui ordonnant de mettre le traitement en conformité avec le GDPR dans un délai de quatre-vingt-dix jours. Ce délai a été jugé approprié pour permettre à l'opérateur de mettre en œuvre des mesures adéquates en rapport avec le transfert de données ; s'il s'avère que ce n'est pas le cas, la suspension des flux de données liés à l'AG vers les États-Unis sera ordonnée.
L'AS italienne a souligné, en particulier, que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises ; elle a souligné à cet égard que les mesures adoptées par Google pour compléter les instruments de transfert de données ne garantissent pas un niveau adéquat de protection des données personnelles des utilisateurs à la lumière des orientations fournies par l'EDPB dans ses recommandations n° 1/2020 du 18 juin 2021.
L'AS italienne souhaite attirer l'attention de tous les opérateurs de sites web italiens, tant publics que privés, sur l'illégalité des transferts de données vers les États-Unis résultant de l'utilisation de l'AG - en partie en raison des nombreuses alertes et demandes reçues jusqu'à présent. L'AS italienne invite tous les responsables de traitement à vérifier que l'utilisation de cookies et d'autres outils de suivi sur leurs sites web est conforme à la législation sur la protection des données ; cela s'applique en particulier à Google Analytics et à des services similaires.
À l'expiration du délai de 90 jours fixé dans sa décision, l'AS italienne vérifiera que les transferts de données en question sont conformes au GDPR de l'UE, y compris par le biais d'inspections ad hoc.
Rome, 23 juin 2022
</blockquote>Cette nouvelle intervient une semaine seulement après la publication par la CNIL (Commission nationale de l'informatique et des libertés) de lignes directrices sur la question de Google Analytics. Ces lignes directrices font suite aux déclarations faites au début de l'année dans lesquelles la CNIL a interdit l'utilisation de Google Analytics.
De plus en plus d'autorités se prononcent contre Google Analytics. Cela n'est pas surprenant : Les autorités européennes de protection des données ont coordonné leur approche dans les affaires concernant les transferts de données de Google Analytics. Grâce à la coordination au niveau européen et à l'influence des autorités françaises et italiennes de protection des données, nous nous attendons à ce que d'autres autorités suivent l'exemple.
- Google Analytics est-il vraiment illégal en Italie ?
- Que dit exactement le GPDP ?
- Le problème des transferts de données
- Les questions-réponses de la CNIL française sur Google Analytics
- Quels sont les risques liés à l'utilisation de Google Analytics en Italie ?
- Existe-t-il différents fournisseurs européens d'outils d'analyse ?
- Comment pouvez-vous être sûr que les autres fournisseurs d'analyses sont conformes au GDPR ?
- Mises à jour
- Dernières réflexions
Plongeons dans le vif du sujet !
Google Analytics est-il vraiment illégal en Italie ?
En théorie, non. En pratique, oui.
Le GPDP ne dit pas exactement qu'il est interdit d'utiliser Google Analytics. Il interdit seulement à un site web spécifique de le faire.
Pourquoi tout ce remue-ménage ? La décision du GPDP a mis en évidence l'absence de garanties dans les transferts de données nécessaires au fonctionnement de Google Analytics. En théorie, un autre site web pourrait mettre en œuvre de meilleures garanties et utiliser Google Analytics dans le respect du GDPR. Mais dans la pratique, aucun site web n'est en mesure de le faire (comme nous l'avons expliqué ici).
Ainsi, bien que la décision n'interdise pas techniquement Google Analytics, elle crée un précédent qui équivaut pratiquement à une interdiction à l'échelle de l'État. Il en va de même pour toutes les décisions rendues jusqu'à présent. Concrètement, Google Analytics est interdit en Autriche, en France et en Italie (et maintenant en Hongrie).
Les professionnels de la protection de la vie privée et les spécialistes du marketing savent bien que les récentes décisions prises à l'encontre de Google Analytics reviennent pratiquement à le déclarer illégal. C'est pourquoi ces décisions ont attiré l'attention des médias.
Le prochain domino tombe, l'Italie interdit Google Analytics
Que dit exactement le GPDP ?
Un média italien (caffeinamagazine) a utilisé Google Analytics. Lorsque Google Analytics traite des données, les informations sont envoyées de Google Ireland à sa société mère, Google, aux États-Unis. Ce transfert de données n'est licite au regard du RGPD que si les droits de l'utilisateur en matière de protection des données peuvent être protégés de manière adéquate. Conformément à l'arrêt Schrems II, le responsable du traitement des données doit mettre en œuvre des garanties efficaces pour préserver la confidentialité des données contre la surveillance américaine.
Le GPDP a examiné toutes les garanties mises en place pour les transferts de données et les a jugées insuffisantes. Le cryptage (non de bout en bout) est insuffisant parce que Google détient la clé et peut être tenu de la remettre aux agences d'État. Les garanties contractuelles en place entre Google Ireland et Google sont insuffisantes en l'absence de mesures techniques. Le GPDP a également précisé que l'adresse IP de l'utilisateur est une donnée personnelle même lorsqu'elle est anonymisée par Google, car Google utilise une anonymisation très faible.
Rien de tout cela n'est nouveau. En fait, le GPDP ne fait que répéter ce que les autorités autrichiennes et françaises de protection des données ont déjà précisé, et toutes les autorités appliquent simplement les critères énoncés dans l'arrêt Schrems II.
Le problème des transferts de données
Mais qu'est-ce qui rend les transferts de données vers les États-Unis si problématiques ? Pourquoi avons-nous besoin de garde-fous ? Des entreprises telles que Google, Facebook et AWS peuvent être tenues de transmettre des données personnelles d'étrangers à des agences américaines en vertu de la législation américaine (section 702 de la FISA).
Les préoccupations de Google en matière de protection de la vie privée ne sont pas nouvelles. En 2013, les dossiers Snowden ont révélé que les données personnelles des citoyens étrangers pouvaient faire l'objet d'une surveillance invasive de la part de l'État lorsqu'elles étaient transférées aux États-Unis. Les révélations de Snowden ont mis en lumière deux vastes programmes de collecte de renseignements (Upstream et PRISM) autorisés par la FISA. Les inquiétudes suscitées par le large champ d'application de la FISA et l'absence de recours efficaces contre la surveillance américaine ont conduit la Cour de justice de l'UE à invalider deux cadres de transfert de données entre l'UE et les États-Unis dans les arrêts Schrems I et II, qui ont fait date.
L'arrêt Schrems II de 2020 a des implications considérables pour les entreprises européennes. En principe, les données peuvent toujours être transférées aux États-Unis sans aucun cadre de transfert de données. Toutefois, la CJUE a précisé que les entreprises européennes doivent assurer la confidentialité des transferts de données en mettant en place des garanties adéquates contre la surveillance de l'État. Concrètement, cela est difficile à faire et totalement impossible pour certains services basés sur le cloud (nous avons écrit à ce sujet ici).
Dans le sillage de Schrems II, l'ONG noyb a déposé 101 plaintes identiques contre des transferts de données centrés sur l'utilisation de Google Analytics et de Facebook Connect. Ces plaintes impliquent toutes les autorités de protection des données de l'UE et constituent un effort stratégique pour inciter l'Europe à appliquer plus strictement les règles clarifiées dans Schrems II.
Comme nous l'avons dit, les autorités de protection des données ont coordonné leur approche de ces plaintes au niveau européen. En conséquence, trois autorités de protection des données européennes ( le DSB autrichien, la CNIL française et maintenant le GPDP italien) (mise à jour : et le NAIH hongrois) se sont prononcées contre l'utilisation de Google Analytics. Conformément à l'arrêt Schrems II, les autorités de protection des données ont estimé que les transferts de données de Google Ireland à Google LLC étaient illégaux car ils ne comportaient pas de garanties efficaces contre la surveillance américaine.
Les questions-réponses de la CNIL française sur Google Analytics
Dans ses questions-réponses de la semaine dernière, la CNIL a répondu à toutes les questions soulevées après avoir annoncé l'illégalité de Google Analytics en février de cette année. Depuis lors, Google a proposé différentes approches pour s'assurer que Google Analytics peut être utilisé en toute sécurité dans le cadre de la législation de l'Union européenne. Cependant, la CNIL a conclu qu'il était techniquement impossible d'utiliser Google Analytics en toute conformité.
Google a proposé différentes solutions qui ont été rejetées par la CNIL :
- L'anonymisation de l'IP n'est pas une solution valable car Google n'a pas pu démontrer que l'anonymisation a lieu avant le transfert des données vers les États-Unis.
- Le cryptage des données est une mesure de protection inefficace, car Google détient les clés et peut être contraint de les remettre à des organismes publics.
La seule solution à laquelle la CNIL pourrait être ouverte est l'anonymisation totale de toutes les données personnelles par le biais d'un serveur proxy. Cette solution est coûteuse et contraignante pour la plupart des entreprises. Elle rend également impossible l'utilisation de cookies, ce qui limite considérablement les capacités d'analyse de Google Analytics.
Quels sont les risques liés à l'utilisation de Google Analytics en Italie ?
Si vous utilisez Google Analytics en Italie, vous ne vous conformez pas au GDPR. Si quelqu'un dépose une plainte ou si le DPA enquête sur vos transferts, vous risquez d'avoir des ennuis.
Il convient de noter que la DPA italienne a annoncé d'autres enquêtes (traduction anglaise ci-dessous) sur l'utilisation de Google Analytics par des entreprises et des institutions, de sorte que l'autorité adopte une approche proactive en la matière. On peut s'attendre à d'autres affaires concernant Google Analytics, y compris des enquêtes sur des cas d'auto-violation.
Existe-t-il différents fournisseurs européens d'outils d'analyse ?
Oui, il y en a. Nous avons conçu Simple Analytics pour vous fournir un outil d'analyse web respectueux de la vie privée et conforme à la GDPR. Il existe également d'autres solutions - vous pouvez consulter alternativeto.net pour trouver des idées.
Comment pouvez-vous être sûr que les autres fournisseurs d'analyses sont conformes au GDPR ?
Ce n'est pas parce que vous n'utilisez pas Google Analytics que vous êtes conforme. Et ce n'est pas parce qu'un fournisseur est européen qu'il ne s'appuie pas lui-même sur des processeurs basés aux États-Unis. Vous devez lire attentivement tous les termes et documents de chaque fournisseur et évaluer leurs politiques.
Veuillez noter que le choix d'un fournisseur conforme n'est qu'un aspect de la question : vous êtes également responsable de la conformité et devez faire votre part.
Vous devez respecter le choix de l'utilisateur et configurer votre outil d'analyse de manière à ce qu'aucun cookie d'analyse ou de publicité ne soit écrit sans ou avant le consentement de l'utilisateur. De nombreux sites web ne le font pas, et c'est entièrement de leur faute - leur logiciel n'y est pour rien ! Vous devez également fournir des informations suffisantes et précises à votre public et vous assurer que vous recueillez le consentement par le biais d'une bannière de cookies conforme au GDPR, que ce soit en l'implémentant vous-même à partir de zéro ou en choisissant des paramètres conformes pour votre plate-forme de gestion des consentements.
(Nous avons abordé la question des bannières de cookies dans un autre blog, n'hésitez pas à le consulter si vous êtes curieux).
Mises à jour
Il s'est passé beaucoup de choses dans les mois qui ont suivi la décision du GPDP, voici donc quelques mises à jour :
- Le GPDP a statué sur deux autres plaintes, s'opposant à nouveau à l'utilisation de Google Analytics. Cela confirme ce qui était déjà évident : la première affaire a créé un précédent crucial, et toutes les autres affaires seront jugées en conséquence. Les deuxième et troisième décisions ont été littéralement copiées-collées de la première.
- La DPA danoise a essentiellement adopté la même approche dans un communiqué de presse sur l'utilisation de Google Analytics.
- Le médiateur finlandais a rejoint l'ORD, la CNIL et le GPDP dans leur décision contre Google Analytics.
- Dans une affaire encore en cours, le Datatilsynet norvégien est parvenu à une conclusion préliminaire selon laquelle l'utilisation de Google Analytics est illégale.
- Un nouveau cadre pour les transferts de données entre l'UE et les États-Unis est en cours d'élaboration. Ce nouveau cadre est encore problématique à certains égards et sera sans aucun doute contesté devant les tribunaux. Nous nous trouvons face à un nouvel arrêt Schrems, et il est difficile de dire comment il se déroulera.
- Meta Ireland a été condamné à une amende de 1,2 milliard d'euros et à suspendre les transferts de données pour Facebook. Les questions juridiques sont les mêmes que celles soulevées par les décisions prises à l'encontre de Google Analytics. Nous avons examiné cette décision importante en détail.
- Nous avons écrit deux blogs sur les transferts de données en général et sur les problèmes de Google Analytics en matière de transferts de données. Ils contiennent des informations plus approfondies sur ces sujets.
Dernières réflexions
Avant de conclure, il peut être utile de résumer ce que nous avons vu :
- Plusieurs autorités de protection des données se sont prononcées contre Google Analytics jusqu'à présent.
- Les autorités de protection des données suivent une approche coordonnée, et deux autorités de protection des données influentes montrent la voie. D'autres autorités sont susceptibles de suivre (mise à jour : l'autorité hongroise de protection des données l'a fait).
- Les décisions sont presque identiques et équivalent pratiquement à une interdiction à l'échelle de l'État.
À noter également : Les consommateurs exigent le respect de la vie privée.
L'environnement commercial évolue et vous devez vous demander si vous souhaitez suivre le mouvement ou vous en tenir à vos anciennes croyances et pratiques.
Google s'éloigne même de sa version actuelle de Google Analytics en supprimant Universal Analytics au profit de GA4. Dans une déclaration, l'entreprise a annoncé que la protection de la vie privée était l'une des principales raisons de ce changement. Bien que GA4 ne soit toujours pas respectueux de la vie privée, la société reconnaît au moins que le monde est en train de changer.
Il existe des alternatives à Google Analytics qui se soucient réellement de la confidentialité de vos utilisateurs. Simple Analytics est l'une d'entre elles, mais avant de vous dire que nous sommes les meilleurs, nous avons créé une comparaison approfondie avec d'autres alternatives respectueuses de la vie privée afin que vous puissiez prendre votre propre décision.
Nous pensons qu'il ne s'agit pas seulement de respecter la loi. Oui, c'est important aussi. Mais cela va plus loin. Nous pensons que vous pouvez prendre des décisions basées sur les données de votre site web sans avoir besoin de collecter des données personnelles ou de suivre des individus.
C'est pourquoi nous avons créé Simple Analytics. Pour vous fournir les informations dont vous avez besoin tout en protégeant la vie privée de vos utilisateurs et en étant 100% conforme au GDPR. Si vous vous sentez concerné, n'hésitez pas à nous essayer.