IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'Agence danoise de protection des données conclut que Google Analytics ne peut pas être utilisé légalement
L'utilisation licite nécessite « la mise en place de mesures supplémentaires »

Le , par Stéphane le calme

5PARTAGES

10  0 
En janvier 2022, l'autorité autrichienne de protection des données a rendu une décision sur l'utilisation de Google Analytics par une organisation autrichienne. À son tour, l'Agence danoise de protection des données a examiné l'outil Google Analytics, ses paramètres et les conditions dans lesquelles l'outil est fourni. Sur la base de cet examen, l'Agence danoise de protection des données conclut que l'outil ne peut, sans plus, être utilisé légalement. L'utilisation licite nécessite la mise en place de mesures supplémentaires en plus des paramètres fournis par Google.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

Le 13 janvier 2022, l'autorité autrichienne de protection des données a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. La CNIL française a elle aussi été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites Web utilisant Google Analytics.

La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

Un site Web utilisant Google Analytics (GA) sans les garanties définies dans le RGPD de l'UE enfreint la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, qui sont un pays sans niveau de protection des données adéquat.

La CNIL italienne est parvenue à cette conclusion après un exercice d'enquête complexe qu'elle avait entamé en étroite coordination avec d'autres autorités de protection des données de l'UE à la suite de plaintes qu'elle avait reçues. La CNIL italienne a constaté que les opérateurs de sites Web utilisant GA recueillaient, avec des cookies, des informations sur les interactions des utilisateurs avec les sites Web respectifs, les pages visitées et les services proposés. L'ensemble varié de données collectées à cet égard comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page. Ces informations ont été transférées aux États-Unis. En déterminant que le traitement était illégal, la CNIL italienne a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'elle détient.

Sur la base des conclusions ci-dessus, la CNIL italienne a adopté une décision, qui sera suivie d'autres, réprimandant Caffeina Media S.r.l. – un exploitant de site internet – et lui ordonnant de mettre le traitement en conformité avec le RGPD dans un délai de quatre-vingt-dix jours. Ce délai a été jugé approprié afin de permettre à l'opérateur de mettre en œuvre des mesures adéquates dans le cadre du transfert de données ; s'il s'avère que ce n'est pas le cas, la suspension des flux de données liés à l'AG vers les États-Unis sera ordonnée.

La CNIL italienne a souligné, en particulier, que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises ; elle a souligné à cet égard que les mesures adoptées par Google pour compléter les instruments de transfert de données n'assuraient pas un niveau de protection adéquat des données personnelles des utilisateurs à la lumière des orientations fournies par le CEPD.

En tout, ce sont les CNIL autrichienne, française et italienne qui ont dit « non » à Google Analytics.


Une analyse paneuropéenne

Bien que les cas individuels aient été tranchés individuellement par les autorités de contrôle respectives qui ont reçu la plainte initiale, les décisions représentent une position européenne commune parmi les autorités de contrôle. Il est essentiel, tant pour les organisations qui traitent des données à caractère personnel que pour les citoyens dont les données à caractère personnel sont traitées, que la législation européenne sur la protection des données soit interprétée de manière uniforme dans l'ensemble de l'UE/EEE. Comme l'objet des plaintes déposées était exactement le même, les cas ont été traités ensemble par un groupe de travail sous les auspices du comité européen de la protection des données. Au Danemark, les questions juridiques ainsi que la manière dont elles devraient être évaluées ont été discutées.

« Le RGPD est fait pour protéger la vie privée des citoyens européens. Cela signifie, entre autres, que vous devriez pouvoir visiter un site Web sans que vos données se retrouvent entre de mauvaises mains. Nous avons soigneusement examiné les paramètres possibles de Google Analytics et sommes arrivés à la conclusion que vous ne pouvez pas utiliser l'outil dans sa forme actuelle sans mettre en œuvre des mesures supplémentaires », a déclaré Makar Juhl Holst, conseiller juridique principal à l'Agence danoise de protection des données.

Et de préciser :

« Depuis les décisions de nos confrères européens, nous nous sommes penchés sur l'outil et les paramètres spécifiques dont vous disposez lorsque vous envisagez d'utiliser Google Analytics. Cela a été particulièrement pertinent, car Google, à la suite de la première décision autrichienne, a commencé à fournir des paramètres supplémentaires en ce qui concerne les données pouvant être collectées par l'outil. Cependant, notre conclusion est que l'outil ne peut pas, sans plus, être utilisé légalement ».

Conséquences pour les organisations danoises

Le fait que les cas véhiculent une position paneuropéenne parmi les autorités de contrôle signifie également que, dans un cas spécifique avec des circonstances similaires, l'Agence danoise de protection des données parviendra au même résultat que ses collègues européens.

Les organisations au Danemark qui utilisent Google Analytics doivent donc évaluer si leur éventuelle utilisation continue de l'outil est conforme à la loi sur la protection des données. Si ce n'est pas le cas, l'organisme doit soit mettre en conformité son utilisation de l'outil, soit, le cas échéant, cesser d'utiliser l'outil.

Une tâche très importante pour l'Agence danoise de protection des données est de donner des conseils aux citoyens sur leurs droits et de donner des conseils aux organisations danoises sur la manière dont elles se conforment à la législation sur la protection des données. Comme c'est le cas avec la loi sur la protection des données, l'Agence danoise de protection des données est neutre vis-à-vis de la technologie et n'a donc aucun intérêt à approuver ou à interdire certains produits.

« Nous ne sommes pas du tout habilités à le faire », a ajouté Makar Juhl Holst. Et de poursuivre en disant : « Suite aux décisions de nos confrères européens, nous avons cependant connu une forte demande d'accompagnement par rapport spécifiquement à Google Analytics, et nous avons donc fait un effort pour approfondir cet outil spécifique ».

Que doivent faire les organisations au Danemark si elles utilisent Google Analytics aujourd'hui ?

L'Agence danoise de protection des données comprend que de nombreuses organisations utilisent déjà Google Analytics et que, dans le passé, il existait un moyen facilement accessible de transférer des données personnelles aux États-Unis sous la forme d'une soi-disant décision d'adéquation de la Commission européenne. Cependant, en juillet 2020, la Cour de justice de l'Union européenne a déclaré cette décision de la Commission invalide.

Par conséquent, le message de l'Agence danoise de protection des données est que si vous utilisez Google Analytics, vous devez mettre en place un plan pour mettre votre utilisation en conformité en mettant en place des mesures supplémentaires.

Une mesure technique possible qui peut être pertinente lors de l'utilisation de Google Analytics est la pseudonymisation. L'Autorité française de protection des données a créé des lignes directrices détaillées pour les organisations souhaitant établir une pseudonymisation efficace au moyen d'un proxy dit inverse.

S'il n'est pas possible de mettre en œuvre des mesures supplémentaires efficaces, vous devez cesser d'utiliser l'outil et, si nécessaire, trouver un autre outil pouvant fournir des analyses Web et permettant le respect de la loi sur la protection des données, par exemple en ne transférant pas les données personnelles des visiteurs à " pays tiers dangereux ».

Le Danemark interdit les Chromebooks et Google Workspace dans les écoles en raison des risques de transfert de données

Dans un verdict publié en juillet, l'agence danoise de protection des données, Datatilsynet, a révélé que le traitement des données des étudiants utilisant la suite logicielle Workspace (qui comprend Gmail, Google Docs, Calendar et Google Drive) ne répond pas aux exigences du règlement de l'Union européenne sur la protection des données (RGPD). Plus précisément, l'autorité a constaté que l'accord relatif au traitement des données - ou les conditions générales de Google - autorise apparemment le transfert de données vers d'autres pays dans le but de fournir une assistance, même si les données sont habituellement stockées dans l'un des centres de données européens de Google.

Les ordinateurs portables Chromebook de Google, et par extension Google Workspace, sont utilisés dans les écoles du Danemark. Mais l'agence danoise de protection des données s'est concentrée spécifiquement sur le cas Helsingor pour l'évaluation des risques après que la municipalité a signalé une violation de la sécurité des données personnelles en 2020. Bien que cette dernière décision ne s'applique techniquement qu'aux écoles d'Helsingor pour le moment, Datatilsynet note que bon nombre des conclusions auxquelles elle est parvenue s'appliqueront probablement à d'autres municipalités qui utilisent les Chromebooks et Workspace de Google. Datatilsynet a ajouté qu'elle s'attendait à ce que ces autres municipalités prennent les mesures nécessaires à la suite de la décision prise à Helsingor. L'interdiction a pris effet immédiatement à Helsingor.

Conseils de la CNIL française pour mettre vos outils analytiques conformes au RGPD

Source : agence danoise de protection des données

Et vous ?

Que pensez-vous de la décision de l'agence danoise de protection des données ?
Que pensez-vous des conseils de la CNIL française concernant la mise en conformité des outils analytiques ?

Voir aussi :

Les écoles au Danemark, aux Pays-Bas et en Allemagne ne peuvent pas utiliser Gmail ou de cloud de Google, en raison de problèmes de confidentialité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 10/07/2023 à 10:43
De toute manière à quoi sert encore Google Analytics?

Les données intéressantes pour le gestionnaire de sites web ont disparu les unes après les autres, plus de stats sur les mots-clé utilisés par les visiteurs, puis plus d'indication sur l'identité des visiteurs, plus de nom de domaine, plus d'adresse IP, etc, etc, etc...

Savoir que x connexions ont eu lieu depuis la Chine le 14 juillet 2022 dont 100% de robot (et oui parce que Google ne fait pas la différence entre un robot et Monsieur Duschmol fait de chair et d'os) n'est d'aucune utilité.

Google Analytics n'est plus qu'un logiciel espion au seul bénéfice de Google lui-même...

Alors autant le jeter à la poubelle... Ce que l'on fait maintenant systématiquement lors de la création d'un nouveau site ou la mise à jour d'un site existant!!!
2  0 
Avatar de Dimitri_07
Candidat au Club https://www.developpez.com
Le 11/07/2023 à 0:45
Si vous voulez utiliser une alternative à Google Analytics, j'en ai développé une : https://eu-analytics.com

Elle respecte la vie privée des utilisateurs by design, pas de user agent / adresse ip stockée, aucun cookie posé chez les visiteurs, et toutes les données sont hébergées en France par les sociétés OVH et Scaleway, chiffrées. Si des gens veulent rejoindre le projet pour le faire décoller ou me donner un coup de main je suis preneur, je suis juste développeur et seul sur le projet pour l'instant, je n'ai aucun piston ou quoi que ce soit du genre.

Et pour être 100% transparent, les autres alternatives clean que j'ai trouvées : simple analytics, plausible.io, et matomo qui est recommandé par la CNIL, mais trop usine à gaz à mon gout, et hébergée en Allemagne dans sa version cloud.
0  0