📢 Mise à jour importante : Le cadre transatlantique pour la protection des données est conclu ! 🌍🤝
À la lumière de cette nouvelle importante, nous avons mis à jour notre couverture pour refléter les dernières informations. Pour rester à jour sur le nouveau cadre transatlantique pour la protection des données et ses répercussions, nous vous invitons à lire notre dernier article sur le sujet.
🔍 Découvrez les dernières nouveautés : Les transferts de données personnelles de l’UE vers les États-Unis sont désormais approuvés
Merci pour votre soutien continu et votre confiance dans notre couverture des questions mondiales importantes!
AutoritĂ©s de protection des donnĂ©es : Google Analytics enfreint la protection des donnĂ©es en raison de l’absence de garanties pour les transferts de donnĂ©es
🎯 Dernière mise Ă jour sur l’utilisation de Google Analytics en Europe
L’utilisation de Google Analytics en Europe a Ă©tĂ© mise en pĂ©ril par de rĂ©centes affaires judiciaires europĂ©ennes.
→ Plusieurs autoritĂ©s europĂ©ennes chargĂ©es de la protection des donnĂ©es ont estimĂ© que le traitement des donnĂ©es des utilisateurs europĂ©ens par Google Analytics pouvait entraĂ®ner un transfert illĂ©gal de donnĂ©es en dehors de l’Europe.
Les actions autour de Google Analytics sont le rĂ©sultat de l’annulation du Privacy Shield car il a Ă©tĂ© Ă©tabli que les normes en matière de confidentialitĂ© des États-Unis ne correspondaient pas Ă celles du cadre europĂ©en. Une prĂ©occupation majeure en dĂ©coulant se rapporte au fait que le gouvernement aurait accès aux donnĂ©es europĂ©ennes conservĂ©es par les entreprises amĂ©ricaines, mĂŞme si elles sont stockĂ©es en Europe. Plus d’informations ici →
đź—Ł Le jour tant attendu par l’industrie est enfin arrivĂ© – un nouveau cadre de confidentialitĂ© est en dĂ©veloppement. Depuis l’annulation du Privacy Shield, aucun cadre formel n’a Ă©tĂ© mis en place. Dans le but de rĂ©soudre la question de la lĂ©galitĂ© des transferts de donnĂ©es entre les États-Unis et l’UE, le prĂ©sident Biden a signĂ© un dĂ©cretpour renforcer les protections juridiques destinĂ©es au service de renseignement (United States Signals Intelligence Activities) pour rĂ©pondre aux obligations Ă©tablies par le cadre juridique entre les deux continents, appelĂ© Data Privacy Framework.
Que prévoit le décret ?
Un décret est une directive du président des États-Unis qui est signée et rendue publique et qui contrôle le fonctionnement du gouvernement fédéral. Ce décret pourrait bien être la solution que le secteur attendait, voici pourquoi :
En mettant l’accent sur un certain nombre d’Ă©lĂ©ments essentiels du cadre, le dĂ©cret vise Ă rĂ©pondre aux prĂ©occupations tout en renforçant un ensemble strict de droits civils et de protections de la vie privĂ©e relatives aux activitĂ©s amĂ©ricaines de renseignement. Pour en savoir plus, consultez notre rĂ©sumĂ© ici.
La Commission europĂ©enne pourra Ă©mettre une « dĂ©cision d’adĂ©quation » qui pourrait autoriser Ă nouveau les transferts de donnĂ©es entre l’UE et les États-Unis. La dĂ©cision pourrait prendre jusqu’Ă six mois,mais devrait ĂŞtre finalisĂ©e prochainement. Cependant, plusieurs mois seront probablement nĂ©cessaires avant que le transfert de donnĂ©es vers des entreprises amĂ©ricaines ne comporte plus le risque de transfert illĂ©gal de donnĂ©es en dehors de l’Europe.
OĂą en sommes-nous ?
Ă€ l’heure actuelle, les autoritĂ©s europĂ©ennes de protection des donnĂ©es (DPA) ont ordonnĂ© l’arrĂŞt de l’utilisation de Google Analytics, sans toutefois infliger d’amendes.
Bien que Google ait déjà tenté de répondre à certains des principaux points de préoccupation concernant Google Analytics 4, ces mesures semblent toujours être considérées comme insuffisantes par les autorités.
Ă€ propos de Google Analytics 4
En partie Ă cause des discussions concernant l’utilisation de Google Analytics, Google a publiĂ© Google Analytics 4 dans le but de rĂ©pondre Ă certaines prĂ©occupations.
- Google Analytics 4 utilise d’abord les adresses IP pour dĂ©cider oĂą stocker les autres donnĂ©es personnelles des utilisateurs (le serveur ou centre de donnĂ©es dĂ©pend de l’IP de l’utilisateur). Les adresses IP sont ensuite complètement Ă©liminĂ©es pour tenter d’attĂ©nuer le problème du transfert des donnĂ©es europĂ©ennes vers les États-Unis.
- Google Analytics 4 proposera également des contrôles au niveau des pays et des options de personnalisation pour vous permettre de minimiser la collecte de données spécifiques aux utilisateurs.
Voici comment configurer et passer à  Google Analytics 4 →
Jusqu’ici, aucune sanction Ă©conomique n’a Ă©tĂ© prononcĂ©e par les autoritĂ©s europĂ©ennes de protection des donnĂ©es quant Ă l’utilisation de Google Analytics.
Si vous ĂŞtes dĂ©jĂ passĂ© Ă GA4, il semble que vous ayez pris une bonne dĂ©cision, car GA4 rĂ©duit considĂ©rablement le traitement des donnĂ©es. Comme il se peut que le nouvel accord de confidentialitĂ© soit prĂŞt dans quelques mois, de nombreuses entreprises pourraient dĂ©cider de prendre le risque puisqu’aucune amende n’a Ă©tĂ© Ă©mise.
D’après la documentation Google, il semble que pour Google Analytics 4 les adresses IP soient utilisĂ©es pour dĂ©terminer de manière approximative la localisation du visiteur. Après cela l’adresse est Ă©liminĂ©e avant que cette donnĂ©e soit conservĂ©e par un serveur. Comme pour Universal Analytics, la mĂŞme question se pose pour Google Analytics 4, car – en fonction de la localisation de la personne concernĂ©e – il peut y avoir un lien direct, entre autres, Ă des serveurs amĂ©ricains avant que l’adresse ne soit Ă©liminĂ©e.
Si vous souhaitez suivre l’Ă©volution de cette jurisprudence et ses dernières dĂ©cisions, vous pouvez consulter notre analyse par pays ici.
MĂŞme avec ces explications, vous ĂŞtes peut-ĂŞtre encore un peu perdu (et c’est normal !). Des organisations comme NOYB et d’autres groupes tentent de dĂ©fendre le droit Ă la vie privĂ©e – l’une des principales prĂ©occupations Ă©tant la possibilitĂ© pour le gouvernement d’accĂ©der aux donnĂ©es europĂ©ennes dĂ©tenues par des entreprises amĂ©ricaines, mĂŞme si elles sont stockĂ©es en Europe.
đź“Ś Alors, que faire maintenant ?
Google Analytics a Ă©tĂ© la cible de rĂ©centes ordonnances par des APD, mais, au moment actuel, tout service fourni par un tiers amĂ©ricain, mĂŞme si l’hĂ©bergement se trouve dans l’UE, peut ĂŞtre compromis. Par consĂ©quent, chaque responsable doit Ă©valuer s’il doit cesser d’utiliser l’ensemble ou une partie de ses prestataires amĂ©ricains entre aujourd’hui et le moment oĂą un nouvel accord sera mis en place.
Comme la plupart du temps lorsqu’il s’agit de sujets relatifs Ă la confidentialitĂ© des donnĂ©es, on peut s’attendre Ă ce qu’un tel accord soit contestĂ©, et par consĂ©quent le parcours risque d’ĂŞtre mouvementĂ© encore pendant un certain temps. En attendant, vous pouvez prendre quelques mesures dès aujourd’hui pour rester prudent.
đź’ˇ Une option consiste Ă obscurcir les donnĂ©es personnelles via un serveur proxy afin que les donnĂ©es ne parviennent pas Ă l’entreprise amĂ©ricaine. Nous avons sĂ©lectionnĂ© quelques solutions adaptĂ©es.
👉 Avec iubenda, vous pouvez ĂŞtre assurĂ© qu’en utilisant nos services sur votre site web/app, les donnĂ©es des utilisateurs de l’UE ne sont pas partagĂ©es avec des entreprises amĂ©ricaines ou, lorsqu’elles le sont, elles sont cryptĂ©es avant d’ĂŞtre envoyĂ©es.
Vous êtes à la recherche d’une alternative à Google Analytics qui soit conforme au RGPD ?
Étant donnĂ© que ce scĂ©nario est toujours d’actualitĂ©, il est commun dĂ©sormais de se tourner vers des alternatives Ă Google Analytics dont l’une des prioritĂ©s principales est la confidentialitĂ©, ou du moins qui sont basĂ©es en Europe.
Ceci pourrait vous intéresser : 7 alternatives à Google Analytics
FAQs
Les autoritĂ©s de protection des donnĂ©es ont constatĂ© que le système juridique amĂ©ricain ne garantissait pas les mĂŞmes normes de protection que l’UE. La situation dĂ©coule d’un ensemble de lois amĂ©ricaines qui permettent aux organisations gouvernementales de demander l’accès aux donnĂ©es personnelles de consommateurs Ă des services/prestataires basĂ©s aux États-Unis, quel que soit l’endroit oĂą se trouvent les centres de donnĂ©es ou les serveurs.
Dans ce contexte, NOYB a dĂ©posĂ© 101 plaintes auprès des APD europĂ©ennes afin de dĂ©clarer que le transfert des donnĂ©es des utilisateurs europĂ©ens vers les États-Unis Ă©tait illĂ©gal. Les dĂ©cisions, qui ont constatĂ© l’illĂ©gitimitĂ© des transferts, se concentrent sur l’analyse de mesures additionnelles techniques, contractuelles et organisationnelles.
L’utilisation d’une clĂ© de cryptage par la sociĂ©tĂ© en question a Ă©tĂ© jugĂ©e insuffisante, la clĂ© Ă©tant dĂ©tenue par Google LLC. Il en dĂ©coule que, tant que la clĂ© de cryptage reste accessible Ă l’importateur (en l’occurrence, Google Analytics), les mesures prises ne pouvaient ĂŞtre considĂ©rĂ©es comme appropriĂ©es.
En outre, les mesures contractuelles et organisationnelles ne sont pas évaluées car les autres sont toujours considérées comme insuffisantes si les mesures techniques font défaut.
Jusqu’Ă prĂ©sent, les autoritĂ©s ont seulement dĂ©clarĂ© que des mesures de sĂ©curitĂ© techniques supplĂ©mentaires sont nĂ©cessaires si vous continuez Ă utiliser Google Analytics.
Sur la base des dĂ©cisions rendues jusqu’Ă prĂ©sent, nous pouvons supposer que les consĂ©quences juridiques possibles soient les suivantes :
- recevoir l’ordre d’identifier des mesures techniques supplémentaires dans un délai de 60 (pour la CNIL) ou 90 jours (pour le Garante),
- recevoir l’ordre d’interrompre le service et de le remplacer par un autre.
Veuillez noter qu’Ă ce jour, aucune sanction Ă©conomique n’a Ă©tĂ© donnĂ©e pour l’utilisation de Google Analytics.