DLP Insights

Google Analytics : feu rouge de la part du Garant  

Catégories: DLP Insights | Tag: GDPR, Dati personali

18 Août 2022

Les sites internet qui utilisent le service Google Analytics (GA), sans les garanties prévues par le Règlement (UE) 2016/679 (le « Règlement »), violent la réglementation sur la protection des données, car ils transfèrent aux États-Unis, pays sans niveau de protection approprié, les données des utilisateurs. Ainsi a statué le Garant pour la protection des données personnelles (le « Garant ») par sa décision du 9 juin 2022, suite à une instruction ouverte sur la base d’une série de réclamations et en coordination avec d’autres Autorités Européennes de protection de  la vie privée, et publiée le 23 juin suivant.

GA est un instrument informatique fourni par Google aux gérants de sites internet, leur permettant d’analyser des statistiques détaillées sur les utilisateurs, afin d’optimiser les services qu’ils offrent et de piloter leurs campagnes de marketing.

En ce qui concerne le traitement effectué avec cet instrument, d’après les contrôles effectués par le Garant, il est apparu que les gérants des sites internet (comme la société sanctionnée) collectent, au moyen de cookies transmis au navigateur de l’utilisateur, des informations sur les modalités d’interaction de ces derniers avec le site internet, avec chaque page et avec les services proposés. En l’espèce, les données collectées consistent en : des identificateurs en ligne uniques, qui permettent aussi bien l’identification du navigateur ou du dispositif de l’utilisateur qui visite le site internet, que celle du gérant même du site (au travers de l’ID account Google) ; adresse, nom du site internet et données de navigation ; adresse IP du dispositif de l’utilisateur; informations relatives au navigateur, au système d’exploitation, à la résolution de l’écran, à la langue sélectionnée, ainsi qu’à la date et à l’heure de la visite au site internet.

Ces informations sont transférées aux États-Unis d’Amérique, pays qui, à ce jour, comme le Garant l’a déjà répété plusieurs fois, ne garantit pas un système de protection des données personnelles équivalent à celui prévu au sein de l’Union Européenne. Dans un tel contexte, le Garant a souligné que la réglementation en vigueur aux États-Unis permet aux Autorités gouvernementales et aux services de renseignement nord-américains d’accéder aux informations personnelles à des fins de sécurité nationale, sans les garanties prévues par la réglementation européenne.

Le Garant a aussi réaffirmé que l’adresse IP est une donnée personnelle à tous les effets, dans la mesure où elle permet d’identifier un dispositif de communication électronique, rendant ainsi par conséquent indirectement identifiable la personne concernée en sa qualité d’utilisateur. Et cette donnée, quand bien même elle serait tronquée, ne deviendrait pas une donnée anonyme, étant donnée la capacité de Google de l’associer à d’autres données en sa possession, rendant ainsi possible une ré-identification de l’utilisateur.

Pour tous ces motifs, le Garant a adopté la première d’une série de décisions par lesquelles il a averti la société qui gérait le site objet de l’instruction, la sommant de se conformer au Règlement dans les quatre-vingt-dix jours. Le délai indiqué a été considéré par le Garant comme suffisant pour permettre à celle-ci de prendre les mesures nécessaires au transfert, sous peine de suspension des flux de données effectués, par l’intermédiaire de GA, vers les États-Unis.

À l’échéance des quatre-vingt-dix jours, peut-on lire dans la décision examinée, le Garant vérifiera, également sur la base d’activités spécifiques d’inspection, la conformité au Règlement des transferts effectués par les responsables.

◊◊◊◊

Dans l’attente que l’Union Européenne et les États-Unis d’Amérique arrivent à un accord juridiquement contraignant, garantissant un transfert international avec des protections équivalentes à ce qui est requis en Europe, les gérants des sites internet sont appelés à respecter les prescriptions de la réglementation en vigueur. Cela même en envisageant de faire appel éventuellement à des fournisseurs d’accès européens traitant les données personnelles des utilisateurs à l’intérieur du territoire UE.

Contenus corrélés :

Autres insights