Le 23 juin 2022, l’autorité italienne de protection des données (la « Garante ») déterminé que l’utilisation par un site Web de l’outil de mesure d’audience Google Analytics n’est pas conforme au règlement général sur la protection des données (« RGPD ») de l’UE, car l’outil transfère des données personnelles aux États-Unis, ce qui n’offre pas un niveau adéquat de protection des données. Pour prendre cette décision, le Garante se joint à d’autres autorités de protection des données de l’UE, y compris le Français et Autrichien les organismes de réglementation, qui ont également conclu que l’utilisation de l’outil était illégale.

Le Garante a déterminé que les sites Web utilisant Google Analytics collectaient via des cookies des données personnelles, y compris les interactions de l’utilisateur avec le site Web, les pages visitées, les informations du navigateur, le système d’exploitation, la résolution de l’écran, la langue sélectionnée, la date et l’heure des pages vues et l’adresse IP de l’appareil utilisateur. Ces informations ont été transférées aux États-Unis sans les garanties supplémentaires pour les données personnelles requises en vertu du RGPD à la suite de la Détermination de Schrems II, et a donc fait face à la possibilité d’un accès gouvernemental. Dans la décision du Garante, l’opérateur du site Web Caffeina Media S.r.l. a reçu l’ordre de mettre son traitement en conformité avec le RGPD dans les 90 jours, mais la décision a des implications plus larges car le Garante a commenté qu’il avait reçu de nombreuses « alertes et requêtes » relatives à Google Analytics. Il a également déclaré qu’il appelait « tous les responsables du traitement à vérifier que l’utilisation de cookies et d’autres outils de suivi sur leurs sites Web est conforme à la loi sur la protection des données; cela s’applique en particulier à Google Analytics et aux services similaires. »