Trois autorités de protection de la vie privée de l’UE ont déterminé que Google Analytics transfère illégalement des données aux États-Unis, laissant les entreprises avec peu ou pas d’alternatives et les professionnels de la protection de la vie privée débattant de la façon de réagir alors que des décisions similaires sont attendues.

« Pleurez et priez. Je pense que c’est la seule chose que nous pouvons faire – c’est pleurer et prier », a déclaré Odia Kagan, partenaire de Fox Rothschild, CIPP / E, CIPP / US, CIPM, FIP, PLS. « Les entreprises sont vraiment dans une impasse sans réelles bonnes solutions. »

Autorités en Autriche et en France Gouverné Plus tôt cette année, Google Analytics viole le règlement général de l’UE sur la protection des données, et pas plus tard que la semaine dernière, l’autorité italienne de protection des données, le Garante, a emboîté le pas en estimant que le transfert de données Google Analytics collectées via des cookies par les opérateurs de sites Web est une violation du RGPD. Les décisions font suite à 101 plaintes déposées dans les États membres de l’UE par le groupe de défense NOYB à la suite de la décision « Schrems II » qui a invalidé le bouclier de protection des données UE-États-Unis – et l’autorité française de protection des données, la Commission nationale de l’informatique et des libertés, a indiqué que les autorités européennes se sont organisées pour « examiner les questions juridiques soulevées » dans les plaintes NOYB et « coordonner leurs positions et décisions ».

Dans sa décision, le Garante fonder les adresses IP des utilisateurs, les informations du navigateur et du système d’exploitation, etc., ont été transférées aux États-Unis, « un pays sans niveau de protection adéquat ». L’autorité a donné aux entreprises 90 jours pour rectifier les problèmes. Pendant ce temps, la CNIL française libéré un nombre non divulgué d’avis de conformité aux entreprises concernant les transferts de données effectués via Google Analytics, accordant une période de conformité de 30 jours.

Dans une séance de questions-réponses qui l’accompagne, la CNIL a déclaré qu’il n’y avait aucun moyen de configurer Google Analytics afin que les données personnelles ne soient pas transférées en dehors de l’Union européenne. Il a également déclaré qu’il n’y avait pas de « garanties supplémentaires suffisantes » qui pourraient être mises en œuvre pour permettre l’utilisation de l’outil, et que les clauses contractuelles types établies avec Google par les organisations qui ont reçu une mise en demeure ne peuvent pas « assurer un niveau de protection suffisant ».

Publicité

Un porte-parole de Google dit Euractiv, « Google Analytics aide les éditeurs à comprendre dans quelle mesure leurs sites et applications fonctionnent bien pour leurs visiteurs, mais pas en identifiant les individus ou en les suivant sur le Web. Ces organisations, et non Google, contrôlent quelles données sont collectées avec ces outils et comment elles sont utilisées. Google aide en fournissant une gamme de garanties, de contrôles et de ressources pour la conformité.

Donc, Google Analytics étant l’un des outils d’analyse de données Internet les plus couramment utilisés, que restent à faire les entreprises touchées par ces décisions?

« Vous avez deux choix. Soit vous utilisez un service qui ne transfère pas du tout aux États-Unis, soit (la CNIL) a donné une sorte de solution ici, mais même eux concèdent que les options ne seraient souvent pas réalisables, ni technologiquement ni économiquement », a déclaré Kagan. « Si vous envisagez d’utiliser un service basé uniquement dans l’UE, y a-t-il suffisamment de services qui font ce dont vous avez besoin et qui sont rentables et que faites-vous si vous avez des composants américains pour votre entreprise ? Disons que vous êtes une multinationale et que vous devez accéder à ce genre de choses depuis les États-Unis, et maintenant ? »

Dans ses questions-réponses, la CNIL a proposé une solution potentielle que Yann Padova, associé de Baker McKenzie et chef de pays de l’IAPP pour la France, a déclaré être la première fois qu’il voyait un régulateur présenter, bien qu’il ne sache pas encore « si c’est totalement et techniquement faisable, facilement ». La CNIL a déclaré que la « proxyfication », en utilisant un tiers pour pseudonymiser les données, aurait pour conséquence d’envoyer uniquement « des données pseudonymisées à un serveur situé en dehors de l’Union européenne ».

« La question devient est-ce réalisable dans la vie réelle? Deuxièmement, est-ce que le coût est prohibitif dans la vie réelle? Et le numéro trois, connexe, existe-t-il des options décentes et non prohibitives actuellement sur le marché pour le faire », a déclaré Kagan. « En théorie, c’est bien, mais en pratique, pas si agréable. Cela dépend de la faisabilité de cette solution de contournement. »

La CNIL a également publié une liste d’autres « outils de mesure d’audience », mais a par la suite souligné que la « liste n’examine pas actuellement les questions soulevées par les transferts internationaux ». Il a également noté que les responsables du traitement des données ne peuvent pas adopter une approche fondée sur les risques, précisant que « les données personnelles transférées vers un pays en dehors de l’Union européenne doivent bénéficier d’un niveau de protection « substantiellement équivalent » à celui garanti dans l’UE ».

Les outils de mesure alternatifs proposés par la CNIL sont « un peu une lacune », a déclaré Padova, et son refus d’approuver une approche basée sur les risques est déterminant.Nation « discutable », car il a souligné que les approches basées sur les risques sont ancrées dans le RGPD et le nouvel ensemble de clauses contractuelles types pour les transferts internationaux de données.

Il a déclaré que les outils alternatifs fournis sont une réaction aux critiques selon lesquelles les APD ne fournissent pas de solution aux décisions concernant Google Analytics.

« Ils veulent dire qu’ils (offrent une solution), mais quand vous le lisez, ils ne le font pas à la lumière du problème du transfert de données, ce qui est la raison même pour laquelle Google Analytics est à l’étude », a-t-il déclaré.

Certaines entreprises évaluent de toute façon leur propre approche basée sur les risques, a déclaré Padova, et continuent de s’appuyer sur Google Analytics « parce qu’il n’y a pas d’autre option et qu’elles ne sont pas encore attrapées par la patrouille ». Beaucoup sont également dans une position attentiste dans l’attente d’un remplacement de l’accord sur le bouclier de protection des données UE-États-Unis. L’accord a été publié en principe en mars et le commissaire européen à la Justice, Didier Reynders, a dit Le texte juridique officiel est attendu « dans les prochaines semaines » menant à un accord finalisé d’ici « la fin de l’année (ou) le premier trimestre de l’année prochaine ».

« Donc, les entreprises jouent aussi l’horloge, disant que dans six mois, il y a une chance de s’en sortir », a déclaré Padova. « Depuis mars, les entreprises attendent et vous voyez que les régulateurs ne jouent pas vraiment le même jeu. Donc, tout le monde évalue les risques, c’est ce que je vois. »

Les entreprises qui se sentent exposées au risque de mesures d’application de la loi en raison des décisions de Google Analytics devraient s’efforcer de trouver une solution, a déclaré Padova.

« Une façon de protéger votre entreprise est au moins de recueillir des informations et d’essayer de trouver des solutions, de documenter afin de pouvoir démontrer votre responsabilité au régulateur », a-t-il déclaré.

Il est également important d’avoir une compréhension approfondie de l’utilisation de Google Analytics par une entreprise et des informations partagées et collectées via l’utilisation de l’outil, a conseillé Kagan.

« Google Analytics n’est pas une solution universelle. C’est ce que vous en faites. Vous devez le comprendre parce qu’il n’y a littéralement aucun moyen de faire quoi que ce soit à moins de comprendre ce qui se passe », a-t-elle déclaré. « Quelles sont les informations que vous partagez ? S’agit-il d’informations de compte bancaire, d’informations sensibles, de renseignements sur la santé, d’orientation sexuelle? Déterminez vos données. Vous devez le faire pour littéralement toutes les possibilités de conformité. »

À partir de là, les entreprises peuvent évaluer leur niveau de risque, évaluer s’il existe des mesures à prendre pour atténuer ce risque et déterminer quelle pourrait être la meilleure option pour elles.

« Y a-t-il des options qui ne collectent pas d’informations, ou des options où vous ne fournissez pas du tout d’informations avec le serveur, comme via un proxy », a-t-elle déclaré. « Regardez des alternatives où les informations ne sont pas partagées avec le fournisseur, ou un fournisseur basé dans l’UE, bien que ce ne soit pas toujours réalisable si vous avez une composante américaine. »

La dernière option, a déclaré Kagan, « est du genre pleurer et prier ».

« Dites à quel point c’est difficile. »

Photo par Markus Spiske sur Unsplash

Rate this post
Publicité
Article précédentAttendez-vous à plus de raids Articuno, Zapdos et Moltres en juillet pour Pokemon Go
Article suivantXWidget est un logiciel gratuit de personnalisation de bureau pour PC Windows
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici