Les autorités françaises et italiennes de coverage des données prennent Google Analytics pour cible

Google Analytics reste un sujet brûlant pour les entreprises, mais également pour les autorités de protection des données (APD).

Avec l’arrivée de ces nouvelles décisions et les nouvelles orientations de la CNIL, les entreprises on encore plus de mal à justifier leur utilization de Google Analytics et devront probablement bientôt faire face à des amendes. Dans l’article qui suit, nous allons analyser les dernières décisions des APD et résumer les principaux points à retenir pour les entreprises.

Après la décision de l’autorité autrichienne de protection des données (DPA autrichienne) sur l’utilisation de Google Analytics, l’autorité française de protection des données (CNIL ou DPA française) a publié une décision similaire similaire’ en février décision plus récente de l’autorité italienne de protection des données (Garante ou DPA italienne) en juin de cette année.

Dans chacune des décisions susmentionnées, l’APD respective a considéré que le transfert pertinent de données à caractère personnel vers les États-Unis lors de l’utilisation de Google Analytics était illégal en vertu du chapitre cinq du Rélé général RGPD) sur la base de l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

La CNIL a par ailleurs publié en juin des FAQ sur les mises en demeure qu’elle a adressées à plusieurs organismes en France pour leur demander de mettre leur utilization de Google Analytics en conformité avec le GDPR. Les FAQ ennoncent égallement les exigences relatives à l’utilisation de l’outil d’analyse et incluent la demande de la CNIL à tous les opérateurs de sites web français de s’assurer de leur conformité à cet égard.

Dans leurs communiqués de presse sur les décisions susmentionnées et dans les FAQ, la CNIL et le Garante ont souligné la coordination avec d’autres autorités de protection des données (APD) de l’UE concernant leurs ce dé quiles ques in conclusion probablement suivies par d’autres APD.

Il devient donc clair que les décisions des autorités autrichiennes, françaises et italiennes ne sont pas des cas isolés, mais que les points de vue et les exigences exposés par les autorités de des données web-pourlement sont de lesén ‘Espace économique européen (EEE).

Comment en est-on arrivé à ces decisions ?

Toutes les décisions des APD susmentionnées et les FAQ sont basées sur des plaintes déposées par l’organisation non gouvernementale de Max Schrems, NOYB, qui a déposé des plaintes contre 101 entreprises européennes États’ tous mevec les les es présumé de données personnelles à Google et Facebook en violation du GDPR et de l’arrêt Schrems II (article de NOYB).

La decision de la CNIL

La décision française a été rendue à l’encontre d’un opérateur de site internet ayant son siège social en France qui utilisait Google Analytics en relation avec des individus provenant de plusieurs États membres de l’UE. En ce qui concerne le traitement transfrontalier effectué, la CNIL a déterminé qu’elle était l’autorité de contrôle principale et, à ce titre, a soumis son projet de decision aux autres autorités de protection des donnéestées’ quiy son pa opposées.

La CNIL a notamment constaté que les informations collectées par Google Analytics auprès des utilisateurs étaient transmises aux serveurs de Google Analytics hébergés aux Etats-Unis. L’APD française a égallement indiqué que les conditions contractuelles pertinentes de Google Analytics faisaient référence aux conditions de traitement des données de Google Ads qui incorporaient des clauses contractuelles types (CCS). Elle a égallement reconnu les mesures juridiques, organizationnelles et techniques supplémentaires fournies par Google concernant un transfert international de données via Google Analytics.

Dans ses FAQ, la CNIL souligne notamment qu’elle a déjà mis en demeure toutes les organisations françaises pour lesquelles l’ONJB avait déposé des plaintes. Les FAQs énoncent égallement les exigences que la CNIL attend de tous les opérateurs de sites web en France qu’ils respectent lorsqu’ils utilisent Google Analytics.

La decision du Garante

La décision italienne a été rendue contre un opérateur de site web situé en Italie qui utilisait la « version gratuite » de Google Analytics. L’exploitant du site web a conclu les conditions d’utilisation de Google Analytics, en tant que conditions standard de Google, avec Google Ireland Limited. Le traitement des données à caractère personnel concernant l’utilisation de Google Analytics par l’exploitant du site web était régi par les conditions de traitement des données de Google Ads, qui incorporaient des clauses contractuelles types (CCS). L’APD italienne a égallement reconnu que Google avait établi des mesures supplémentaires pour les transferts internationaux de données.

Le Garante a souligné la connaissance et la compréhension limitsées de l’opérateur du site web par rapport aux spécificités du traitement effectué par Google Analytics, notamment en ce qui concerne les transferts de données vers des pays tiers et la mise des mement œssure uvre susmentionnées par Google.

Il a égallement été déterminé que la fonction de Google Analytics qui permet la soi-disant « anonymisation » de l’adresse IP de l’utilisateur en supprimant plusieurs données de l’utilisateur, est un moyen d’amélicitoré du traitica l’effement.

Leave a Comment