La CNIL, l’organisme français de surveillance de la protection des données, a publié mise à jour des lignes directrices sur l’utilisation de Google Analytics à la suite d’une décision plus tôt cette année qui a conclu que l’utilisation de l’outil par un site Web local était contraire au droit de l’Union.

Il a également confirmé qu’il avait émis depuis des mises en demeure à d’autres organisations pour qu’elles mettent en conformité leur utilisation de Google Analytics.

La question juridique – qui n’affecte pas seulement l’utilisation de l’outil d’analyse populaire en France, mais dans toute l’UE – repose sur le transfert des données des utilisateurs aux États-Unis pour traitement par Google – une exportation de données personnelles qui ne disposent pas de protections juridiques adéquates à la suite d’une décision rendue en 2020 par la plus haute cour d’Europe qui a invalidé un accord phare de transfert de données (aka, le bouclier de protection des données UE- États-Unis) sur le risque d’accès illégal aux données des Européens par les agences de renseignement américaines.

Publicité

lors, l’UE et les États-Unis ont été annoncés (en mars), un accord politique sur un mécanisme de transfert de remplacement.

Publicité

Mais, comme le note la CNIL, leur déclaration commune n’est pas un cadre juridique et ne peut pas être signalée par les utilisateurs de services cloud américains qui prennent les données des Européens au-dessus de l’étang pour les traiter avant qu’ un accord de remplacement réel ne soit définitivement adopté par l’UE – que le La Commission à proposer ne peut pas se produire avant la fin de l’année. (Il sera également presque certainement confronté à de nouveaux défis juridiques pour vérifier si l’accord est tout aussi défectueux que les précédents, comme les experts en protection des données suspectes.)

En fin de compte, les sites Web de l’UE peuvent apporter des modifications à leur utilisation de Google Analytics, soit risquer l’application de la réglementation – ce qui pourrait inclure une ordonnance de modification de leurs processus et une sanction financière en cas de violation. Et il est probable que le risque d’amendements pour non-conformité augmente maintenant que les directives réglementaires sur la question deviennent plus détaillées, car cela signifie qu’il y a moins d’excuses plausibles pour ne pas avoir apporté les changements nécessaires.

« Tous les contrôleurs de données utilisant Google Analytics de la même manière que [already notified] les organisations doivent désormais considérer cette utilisation comme illégale en vertu du RGPD. Ils doivent donc se tourner vers un prestataire offrant des garanties de conformité suffisantes », prévient la CNIL dans le guide [which we’ve translated from French with machine translation].

Tous les sites qui reçoivent une notification formelle du régulateur concernant leur utilisation de Google Analytics ont un mois pour se conformer – avec la possibilité d’une prolongation d’un mois supplémentaire.

La FAQ de la CNIL sur l’utilisation de Google Analytics poursuit en suggérant qu’il est essentiellement impossible pour les organisations basées dans l’UE d’utiliser l’outil sans certaines garanties supplémentaires qui leur sont propres.

« Aucune garantie supplémentaire portée à la CNIL dans le cadre de la mise en demeure n’empêcherait ou ne rendrait inefficace l’accès des services de renseignements américains aux données personnelles des utilisateurs européens lorsqu’ils utilisent uniquement l’outil Google Analytics », écrit-il en réponse à la question de savoir s’il est possible d’appuyer sur des garanties supplémentaires que Google prétend appliquer à l’outil.

Les clauses contractuelles types ne suffisent pas non plus à combler le vide juridique sur les exportations de données, souligne également la CNIL, notant qu’il n’est pas possible de configurer Google Analytics pour qu’il ne transfère pas les données personnelles des Européens en dehors de l’union et mise en garde : « Même en l’absence de transfert, l’utilisation des solutions proposées par les entreprises soumises aux juridictions non européennes est susceptible de poser des difficultés en termes d’accès aux données. En effet, les organisations peuvent être obligées par les autorités de pays tiers de divulguer des données personnelles hébergées sur des serveurs situés dans l’Union européenne.

Selon la FAQ, les éventuelles garanties supplémentaires que les utilisateurs de Google Analytics basées dans l’UE pourraient être en mesure d’appliquer pour utiliser l’outil sans enfreindre la loi sont limitées à : Cryptage (mais uniquement si les clés sont détenues sous le contrôle exclusif de l’émetteur de données ou d’autres entités définies sur un territoire offrant un niveau de protection adéquat ); ou un serveur proxy (pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure).

Le régulateur suggère que l’obtention du consentement explicite des utilisateurs à un transfert de données peut également être valable – mais seulement dans des circonstances exceptionnelles, car la CNIL note que la dérogation ne peut pas être utilisée pour des transferts systématiques (qui sont essentiellement ce que sont les flux de données de Google Analytics). Le consentement explicite n’est donc pas une solution viable, même si vous pensiez que c’était une bonne idée de perturber chaque visiteur avec une telle demande.

La CNIL a déjà été publiée une liste d’outils d’analyse alternatifs il a déterminé qu’il peut être configuré de manière à éviter la nécessité générale d’obtenir le consentement de l’utilisateur pour le traitement des données. Cependant, il avertit que la liste ne tient pas compte de la question des transferts internationaux – par conséquent, les propriétaires de sites doivent encore faire leur propre travail pour déterminer si des outils d’analyse alternatifs, par exemple proposés par un fabricant de logiciels basés dans l’UE qui effectue tous les traitements dans l’UE, pourrait offrir une option moins risquée juridiquement que Google Analytics.

D’autres autorités de protection des données de l’UE (comme l’Autriche) ont également publié des sites Web avec des décisions relatives à l’utilisation non conforme de Google Analytics.

L’examen réglementaire a fait suite à une série de plaintes déposées par un groupe de défense de la vie privée de l’UE, nobde retour dans Août 2020 — ciblant Google Analytics et Facebook Connect. Ainsi, bien que l’outil d’analyse de Google ait été le premier en ligne pour les décisions DPA, le problème ne se limite pas à Google ni aux outils d’analyse et peut affecter beaucoup plus de services basés aux États-Unis avec des clients dans l’UE.

Google a été contacté pour une réponse aux conseils de la CNIL.


Rate this post
Publicité
Article précédentL’organisme français de surveillance des données met en garde contre l’utilisation illégale de Google Analytics – TechCrunch
Article suivantLa conférence de consensus éclaire la crypto-monnaie, les DAO, les NFT, les métaverses et plus encore à Austin
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici