La CNIL, la gendarmerie française de la protection des données, a publié une guide mis à jour sur l’utilisation de Google Analytics après la décision tôt cette année qui a conclu que l’utilisation de l’outil par un site Web local violait le droit de l’Union européenne.
Il a également confirmé qu’il avait depuis émis des avis officiels à d’autres organisations pour se conformer à leur utilisation de Google Analytics.
Le problème juridique – qui affecte non seulement l’utilisation de l’outil d’analyse populaire en France mais dans toute l’UE – repose sur le transfert des données des utilisateurs aux États-Unis pour traitement par Google – l’exportation de données personnelles qui ne bénéficient pas d’une protection juridique adéquate à la suite une décision rendue en 2020 par les tribunaux de la plus haute agence européenne qui a annulé le principal accord de transfert de données (alias le bouclier de protection des données UE-États-Unis) sur le risque d’accès non autorisé aux données européennes par les agences de renseignement américaines.
Depuis lors, l’UE et les États-Unis ont annoncé (en mars) accord politique sur un mécanisme de transfert de remplacement.
Cependant, comme le note la CNIL, leur déclaration commune n’est pas un cadre légal et ne peut être invoquée par les utilisateurs de services cloud américains qui récupèrent les données des Européens pour les traiter avant l’accord de remboursement proprement dit officiellement adopté par l’UE – qui est La Commission a proposé peut ne pas arriver avant la fin de l’année. (Il sera également presque certainement confronté à une nouvelle contestation judiciaire pour vérifier si l’accord est aussi défectueux que le précédent, comme les experts en protection des données soupçonnent.)
Ainsi, l’essentiel est que les sites Web de l’UE peuvent apporter des modifications à leur utilisation de Google Analytics ou à l’application des réglementations sur les risques, ce qui pourrait inclure des ordres de modifier leurs processus et des sanctions financières en cas de violation. Et le risque possible d’amendes pour non-conformité augmente maintenant que les directives réglementaires sur cette question deviennent plus détaillées, car cela signifie qu’il y a moins de raisons plausibles de ne pas apporter les modifications nécessaires.
« Tous les contrôleurs de données utilisent Google Analytics de la même manière que [already notified] les organisations doivent désormais considérer cette utilisation comme illégale en vertu du RGPD. Ils doivent donc s’adresser à un prestataire offrant une assurance de conformité adéquate », prévient la CNIL dans le guide [which we’ve translated from French with machine translation].
Chaque site qui reçoit une notification officielle des régulateurs concernant son utilisation de Google Analytics dispose d’un mois pour se conformer, avec la possibilité d’une prolongation d’un mois supplémentaire.
La FAQ de la CNIL sur l’utilisation de Google Analytics suggère en outre qu’il est pratiquement impossible pour les organisations basées dans l’UE d’utiliser l’outil sans mettre en œuvre certaines garanties supplémentaires qui leur sont propres.
« Aucune garantie supplémentaire n’est fournie à la CNIL dans le cadre de la notification officielle qui empêchera ou rendra inefficace l’accès des agences de renseignement américaines aux données personnelles des utilisateurs européens lors de l’utilisation des seuls outils Google Analytics », a-t-il écrit en réponse à la question. savoir s’il est possible de s’appuyer sur les protections supplémentaires que Google prétend appliquer à l’outil.
Les clauses contractuelles types sont également insuffisantes pour combler le vide juridique en matière d’exportation de données, a également souligné la CNIL — notant qu’il n’est pas possible de configurer Google Analytics pour qu’il ne transfère pas les données personnelles des Européens hors bloc et un autre avertissement : « Même s’il n’y a pas de transfert, les solutions d’utilisation proposées par des sociétés soumises à des juridictions non européennes sont susceptibles de créer des difficultés en termes d’accès aux données.En effet, les organisations peuvent être tenues par les autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans la zone européenne. Syndicat. »
Conformément à la FAQ, les éventuelles garanties supplémentaires qu’un utilisateur de Google Analytics basé dans l’UE peut appliquer pour utiliser l’outil sans enfreindre la loi sont limitées à : Le cryptage (mais uniquement si la clé est détenue sous le contrôle exclusif des données exportateur ou autre entité établie dans la région offrant un niveau de protection adéquat); ou serveur proxy (pour éviter un contact direct entre le terminal de l’internaute et le serveur de l’instrument de mesure).
Les régulateurs suggèrent qu’il est également possible d’obtenir le consentement explicite des utilisateurs pour les transferts de données, mais uniquement dans des circonstances exceptionnelles, car la CNIL note que les déductions ne peuvent pas être utilisées pour les transferts systématiques (qui sont essentiellement des flux de données Google Analytics). L’approbation explicite n’est donc pas une solution viable, même si vous pensez que c’est une bonne idée d’ennuyer chaque visiteur avec une telle demande.
La CNIL a déjà publié liste d’outils d’analyse alternatifs prédéfinis peuvent être configurés de manière à éviter la nécessité générale d’obtenir le consentement de l’utilisateur pour le traitement des données. Mais avertit que la liste ne prend pas en compte les problèmes de transfert international – par conséquent, les propriétaires de sites doivent encore faire leurs propres démarches pour déterminer si des outils d’analyse alternatifs, par exemple proposés par des fabricants de logiciels basés dans l’UE qui effectuent tout le traitement en Europe Union, pourrait offrir moins d’options juridiquement plus risquées que Google Analytics.
D’autres autorités de protection des données de l’UE (telles que l’Autriche) ont également publié des sites Web avec des décisions relatives à l’utilisation inappropriée de Google Analytics.
L’examen réglementaire fait suite à une série de plaintes déposées par le groupe de défense de la vie privée de l’UE, nobrevenir Août 2020 — ciblant Google Analytics et Facebook Connect. Ainsi, bien que les outils d’analyse de Google soient en première ligne pour les décisions DPA, le problème ne se limite pas à Google ou aux outils d’analyse et peut affecter de nombreux autres services basés aux États-Unis avec des clients dans l’UE.
Google a été contacté pour répondre aux orientations de la CNIL.
« Fanatique de la musique amateur. Ninja de l’alcool. Troublemaker sans vergogne. Passionné de nourriture. Introverti extrême. Nerd du voyage certifié. »
