|
Note: Pour plus d'informations sur Google Analytics, veuillez consulter notre article de blog sur le sujet. |
Contexte et décision
Nos conseils
- Recommandation 1 - Utilisez l’anonymisation de l’IP proposée par Google Analytics
- Recommandation 2 - Envisagez de mettre en place d'autres contrôles de confidentialité
- Recommandation 3 - Obtenez le consentement explicite de vos utilisateurs pour l’envoi de données aux Etats Unis
Contexte et décision
Le 13 Janvier dernier, l’autorité de protection des données Autrichienne publie une décision qui semble considérer que l’utilisation de Google analytics enfreint le Règlement Général de la Protection des Données (RGPD).
Quelques jours plus tard, le 26 janvier, l’APD danoise tire la même conclusion.
Le 10 février, la CNIL publie une déclaration annonçant que la configuration actuelle de Google Analytics l'empêche d'être conforme.
Dans tous les cas, les autorités chargées de la protection des données indiquent clairement que le transfert des données personnelles vers les États-Unis est illégal.
La justification de ces décisions est toujours plus ou moins la même :
- Google ne peut plus s'appuyer sur une décision d'adéquation (Schrems II)
- Les États-Unis ne garantissant pas un niveau équivalent de protection des données personnelles, Google ne peut s’appuyer sur des clauses standard du RGPD pour transférer des données.
- Les mesures contractuelles, organisationnelles et techniques mises en place par Google en réponse à la situation ne sont pas suffisantes : le niveau de protection attendu n’est pas atteint et ne permet toujours pas d’envisager des transferts vers les États-Unis.
Pour les autorités chargées de la protection des données, le problème est le suivant : les services de renseignements américains utilisent certains identifiants en ligne (adresses IP, numéros d'identification uniques …) au service d'activités de surveillance. De plus, "il ne peut être exclu que ces services de renseignement aient déjà collecté des informations qui pourraient permettre de remonter jusqu'à l’identité du plaignant".
Google a exprimé son désaccord avec la position des autorités de protection des données et n'a pas encore communiqué sur d'éventuels changements dans le mode de fonctionnement de Google Analytics en Europe. Dans le post suivant, Google exprime qu'un Privacy Shield 2.0 pourrait bien être la meilleure solution.
Chers clients, si vous craignez de courir des risques d’illégalité en utilisant Google Analytics en l’état sur votre site, nous vous suggérons de suivre les recommandations suivantes.
Recommandations
Recommandation 1- Utilisez l’anonymisation de l’IP proposée par Google Analytics
Google Analytics offre la possibilité d'utiliser une fonction d'anonymisation de l'IP. Nous recommandons vivement d'activer cette fonction, également mentionnée dans les décisions.
Toutefois, nous avons des raisons de penser que l'anonymisation de l'adresse IP ne suffira pas, que ce n'est qu'un pas vers la conformité.
Recommandation 2 - Mettre en place d'autres contrôles de confidentialité
De la désactivation des fonctions de personnalisation de la publicité à la désactivation de la collecte de données, Google propose une série de contrôles que ses clients peuvent mettre en œuvre pour limiter les données collectées lors de l'utilisation de Google Analytics.
Nous vous recommandons de procéder à une analyse de votre utilisation de Google Analytics afin de déterminer si certaines ou toutes ces mesures sont appropriées à la lumière des décisions récentes.
Recommandation 3 - Obtenez le consentement explicite de vos utilisateurs pour l’envoi de données aux États Unis
L'article 49 du RGPD détaille qu'"en l'absence de décision d'adéquation [...] ou de mesures de protection appropriées [...], un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers [...] doit avoir lieu [...] si la personne concernée a explicitement consenti au transfert en question après avoir été informée des risques éventuels liés à ces transferts."
Cette solution n'est pas idéale pour l'utilisateur. C'est donc une possibilité et non une recommandation pour le moment.