À la lumière de cette nouvelle importante, nous avons mis à jour notre couverture pour refléter les dernières informations. Pour rester à jour sur le nouveau cadre transatlantique pour la protection des données et ses répercussions, nous vous invitons à lire notre dernier article sur le sujet.
🔍 Découvrez les dernières nouveautés : Les transferts de données personnelles de l’UE vers les États-Unis sont désormais approuvés
Merci pour votre soutien continu et votre confiance dans notre couverture des questions mondiales importantes!
L’utilisation de Google Analytics en Europe a été mise en péril par de récentes affaires judiciaires européennes.
→ Plusieurs autorités européennes chargées de la protection des données ont estimé que le traitement des données des utilisateurs européens par Google Analytics pouvait entraîner un transfert illégal de données en dehors de l’Europe.
Les actions autour de Google Analytics sont le résultat de l’annulation du Privacy Shield car il a été établi que les normes en matière de confidentialité des États-Unis ne correspondaient pas à celles du cadre européen. Une préoccupation majeure en découlant se rapporte au fait que le gouvernement aurait accès aux données européennes conservées par les entreprises américaines, même si elles sont stockées en Europe. Plus d’informations ici →
🗣 Le jour tant attendu par l’industrie est enfin arrivé – un nouveau cadre de confidentialité est en développement. Depuis l’annulation du Privacy Shield, aucun cadre formel n’a été mis en place. Dans le but de résoudre la question de la légalité des transferts de données entre les États-Unis et l’UE, le président Biden a signé un décretpour renforcer les protections juridiques destinées au service de renseignement (United States Signals Intelligence Activities) pour répondre aux obligations établies par le cadre juridique entre les deux continents, appelé Data Privacy Framework.
Un décret est une directive du président des États-Unis qui est signée et rendue publique et qui contrôle le fonctionnement du gouvernement fédéral. Ce décret pourrait bien être la solution que le secteur attendait, voici pourquoi :
En mettant l’accent sur un certain nombre d’éléments essentiels du cadre, le décret vise à répondre aux préoccupations tout en renforçant un ensemble strict de droits civils et de protections de la vie privée relatives aux activités américaines de renseignement. Pour en savoir plus, consultez notre résumé ici.
La Commission européenne pourra émettre une « décision d’adéquation » qui pourrait autoriser à nouveau les transferts de données entre l’UE et les États-Unis. La décision pourrait prendre jusqu’à six mois,mais devrait être finalisée prochainement. Cependant, plusieurs mois seront probablement nécessaires avant que le transfert de données vers des entreprises américaines ne comporte plus le risque de transfert illégal de données en dehors de l’Europe.
À l’heure actuelle, les autorités européennes de protection des données (DPA) ont ordonné l’arrêt de l’utilisation de Google Analytics, sans toutefois infliger d’amendes.
Bien que Google ait déjà tenté de répondre à certains des principaux points de préoccupation concernant Google Analytics 4, ces mesures semblent toujours être considérées comme insuffisantes par les autorités.
En partie à cause des discussions concernant l’utilisation de Google Analytics, Google a publié Google Analytics 4 dans le but de répondre à certaines préoccupations.
Voici comment configurer et passer à Google Analytics 4 →
Jusqu’ici, aucune sanction économique n’a été prononcée par les autorités européennes de protection des données quant à l’utilisation de Google Analytics.
Si vous êtes déjà passé à GA4, il semble que vous ayez pris une bonne décision, car GA4 réduit considérablement le traitement des données. Comme il se peut que le nouvel accord de confidentialité soit prêt dans quelques mois, de nombreuses entreprises pourraient décider de prendre le risque puisqu’aucune amende n’a été émise.
D’après la documentation Google, il semble que pour Google Analytics 4 les adresses IP soient utilisées pour déterminer de manière approximative la localisation du visiteur. Après cela l’adresse est éliminée avant que cette donnée soit conservée par un serveur. Comme pour Universal Analytics, la même question se pose pour Google Analytics 4, car – en fonction de la localisation de la personne concernée – il peut y avoir un lien direct, entre autres, à des serveurs américains avant que l’adresse ne soit éliminée.
Si vous souhaitez suivre l’évolution de cette jurisprudence et ses dernières décisions, vous pouvez consulter notre analyse par pays ici.
Même avec ces explications, vous êtes peut-être encore un peu perdu (et c’est normal !). Des organisations comme NOYB et d’autres groupes tentent de défendre le droit à la vie privée – l’une des principales préoccupations étant la possibilité pour le gouvernement d’accéder aux données européennes détenues par des entreprises américaines, même si elles sont stockées en Europe.
Google Analytics a été la cible de récentes ordonnances par des APD, mais, au moment actuel, tout service fourni par un tiers américain, même si l’hébergement se trouve dans l’UE, peut être compromis. Par conséquent, chaque responsable doit évaluer s’il doit cesser d’utiliser l’ensemble ou une partie de ses prestataires américains entre aujourd’hui et le moment où un nouvel accord sera mis en place.
Comme la plupart du temps lorsqu’il s’agit de sujets relatifs à la confidentialité des données, on peut s’attendre à ce qu’un tel accord soit contesté, et par conséquent le parcours risque d’être mouvementé encore pendant un certain temps. En attendant, vous pouvez prendre quelques mesures dès aujourd’hui pour rester prudent.
💡 Une option consiste à obscurcir les données personnelles via un serveur proxy afin que les données ne parviennent pas à l’entreprise américaine. Nous avons sélectionné quelques solutions adaptées.
👉 Avec iubenda, vous pouvez être assuré qu’en utilisant nos services sur votre site web/app, les données des utilisateurs de l’UE ne sont pas partagées avec des entreprises américaines ou, lorsqu’elles le sont, elles sont cryptées avant d’être envoyées.
Étant donné que ce scénario est toujours d’actualité, il est commun désormais de se tourner vers des alternatives à Google Analytics dont l’une des priorités principales est la confidentialité, ou du moins qui sont basées en Europe.
Ceci pourrait vous intéresser : 7 alternatives à Google Analytics
Les autorités de protection des données ont constaté que le système juridique américain ne garantissait pas les mêmes normes de protection que l’UE. La situation découle d’un ensemble de lois américaines qui permettent aux organisations gouvernementales de demander l’accès aux données personnelles de consommateurs à des services/prestataires basés aux États-Unis, quel que soit l’endroit où se trouvent les centres de données ou les serveurs.
Dans ce contexte, NOYB a déposé 101 plaintes auprès des APD européennes afin de déclarer que le transfert des données des utilisateurs européens vers les États-Unis était illégal. Les décisions, qui ont constaté l’illégitimité des transferts, se concentrent sur l’analyse de mesures additionnelles techniques, contractuelles et organisationnelles.
L’utilisation d’une clé de cryptage par la société en question a été jugée insuffisante, la clé étant détenue par Google LLC. Il en découle que, tant que la clé de cryptage reste accessible à l’importateur (en l’occurrence, Google Analytics), les mesures prises ne pouvaient être considérées comme appropriées.
En outre, les mesures contractuelles et organisationnelles ne sont pas évaluées car les autres sont toujours considérées comme insuffisantes si les mesures techniques font défaut.
Jusqu’à présent, les autorités ont seulement déclaré que des mesures de sécurité techniques supplémentaires sont nécessaires si vous continuez à utiliser Google Analytics.
Sur la base des décisions rendues jusqu’à présent, nous pouvons supposer que les conséquences juridiques possibles soient les suivantes :
Veuillez noter qu’à ce jour, aucune sanction économique n’a été donnée pour l’utilisation de Google Analytics.
