DSK : Utilisation de Google Analytics par des organismes privés

FR DE EN

David Vasella

sur le site

01.06.2020

Branches

Autorité

DSK

Lois

RGPD 26, RGPD 6, FMG 45c

Thèmes

Consentement, responsabilité partagée, Google, Suivi

Vente à emporter (AI)

La CCPD considère Google comme responsable conjoint de l’utilisation de Google Analytics, ce qui nécessite un accord au titre de l’article 26 du RGPD entre les parties concernées.
En règle générale, Google Analytics ne peut être utilisé qu’avec le consentement effectif, transparent et volontaire des utilisateurs, conformément à l’art. 6, al. 1, let. a et à l’art. 7 du RGPD.

La conférence allemande des autorités de contrôle de la protection des données (DSK) a adopté des recommandations pour le 12 mai 2020. Remarques sur l’utilisation de Google Analytics par des organismes privés publié :

Les autorités de contrôle de la protection des données ont, dans le contexte du nouveau cadre juridique en vigueur en vertu du RGPD, mis l’accent sur la protection des données. Réévaluation de l’utilisation de Google Analytics. Les anciens points de vue des autorités de surveillance de la protection des données, qui ont été communiqués en tenant compte de la situation juridique avant le 25.05.2018, sont donc considérés comme obsolètes. [Fn : Cela s’applique en particulier à la publication du délégué hambourgeois à la protection des données et à la liberté d’information, “Indications pour les exploitants de sites web ayant leur siège à Hambourg et utilisant Google Analytics”].

Les remarques s’appliquent à l’utilisation de Google Analytics dans la Configuration standard (sans compter par exemple Analytics 360).

Remarques

La DSK note en bref que

Google lors de l’utilisation de Google Analytics avec l’exploitant du site web dans son ensemble responsable ensemble est et
Google Analytics uniquement avec Consentement peut être utilisé.

En ce qui concerne l’exigence du consentement, la position de la CCPD correspond aux avis exprimés précédemment par des autorités (par exemple le LfDI Rhénanie-Palatinat) et, pour autant que l’on puisse en juger, du Tribunal administratif de Mayence (voir aussi ici).

Ce qui est nouveau, en revanche, c’est l’appréciation selon laquelle Google est un responsable conjoint. La base de données fournie par Google Accord de traitement des commandes ne change rien à cette situation. Cela signifie que l’utilisation de Google Analytics requiert non seulement un consentement (ce qui confirme d’ailleurs une fois de plus que le transfert de données entre responsables conjoints n’est pas privilégié, mais nécessite une base juridique), mais aussi un accord entre responsables conjoints au sens de l’article 26 du RGPD. Jusqu’à présent, Google n’a pas présenté un tel accord.

Pour Entreprises en Suisse le RGPD peut s’appliquer si le comportement des utilisateurs est collecté auprès de personnes résidant dans l’EEE (y compris le Liechtenstein). Dans ce cas, les exigences de la CCPD devraient être mises en œuvre (bien que celles-ci ne soient pas juridiquement contraignantes). Une possibilité peut consister à exclure les accès depuis l’étranger ou à ne pas les saisir. Sans de telles mesures, l’utilisation de Google Analytics présuppose une évaluation du risque juridique.

Le site LPD suisse réglemente l’utilisation de Google Analytics par les généralistes Principes de traitement et par la disposition suisse relative aux cookies, Art. 45c LTC – dans la mesure où l’on peut supposer, pour la Suisse également, que des données personnelles sont traitées par Google Analytics, ce qui est loin d’être évident. Cette situation juridique ne changera guère avec la révision de la LPD, hormis les obligations d’information selon l’art. 17 P‑LPD. Un consentement à l’utilisation de Google Analytics n’est donc pas nécessaire. Il ne devrait pas y avoir de transmission de profils de la personnalité ou – selon l’offre d’un site web – de données personnelles sensibles – à Google, puisque Google collecte lui-même ces données ou est un sous-traitant selon le droit suisse. De ce point de vue également, il convient donc pas de consentement requis être.

Il y a aussi une Accord entre coresponsables est pas nécessaire en soi. La LPD et la P‑LPD ne prescrivent généralement pas un tel accord, même s’il peut s’avérer utile en cas de répartition du travail de traitement des données. Étant donné que Google est soumis au RGPD, il devrait toutefois exiger la conclusion d’un tel accord avec les exploitants de sites web suisses : Certes, ces derniers ne devraient pas être soumis au RGPD du seul fait qu’ils traitent des données conjointement avec un responsable dans l’EEE. Mais l’accord entre responsables conjoints vise à répartir correctement les obligations de conformité, et si le responsable suisse assume de telles obligations sans s’engager à respecter les normes du RGPD, son homologue de l’EEE risquerait de se retrouver face à une lacune réglementaire.

Applicabilité du RGPD

La DSK fait tout d’abord le constat suivant ou défend le point de vue suivant :

Lors de l’utilisation de Google Analytics, des traite toujours les données personnelles des utilisateurs.

La CCPD s’oppose ici expressément à l’avis de Google lui-même, selon lequel les données d’utilisation ne constituent pas des données personnelles. La CCPD ne justifie toutefois pas davantage son point de vue sur ce point – qui ne va pas de soi.

Répartition des rôles : Google en tant que co-responsable

Google lors de l’utilisation de Google Analytics est, selon la DSK n’agit pas en tant que sous-traitant.

La DSK à ce sujet :

Lors de l’utilisation de Google Analytics, l’exploitant du site web ne détermine pas seul les Finalités et moyens du traitement des données. Ceux-ci sont plutôt en partie exclusivement imposées par GoogleGoogle est donc lui-même responsable et accepté contractuellement par l’exploitant du site. Le traitement dans le cadre de l’utilisation de Google Analytics constitue un fait de vie unique, dans lequel les différents aspects du traitement n’ont de sens que dans leur ensemble. Cela a pour conséquence que les intervenants dans une activité de traitement ne changent pas de rôle en tant que sous-traitant et/ou responsable du traitement peuvent.

Là encore, la CCPD s’oppose à Google qui, selon elle, agit en tant que sous-traitant pour certains traitements et en tant que responsable pour d’autres (sur ce dernier point, voir la Données partagées sous Mesure Contrôleur-Contrôleur Termes de protection des données de Google). Au contraire, Google et l’exploitant du site web responsables communs au sens de l’article 26 du RGPD.

Base juridique : consentement

Google Analytics n’étant pas nécessaire au contrat, l’article 6, paragraphe 1, point b), du RGPD ne peut servir de base juridique. L’article 6, paragraphe 1, point f), du RGPD (intérêt légitime) ne s’applique pas non plus “en règle générale” :

Compte tenu des étapes concrètes du traitement des données lors de l’utilisation de Google Analytics, les intérêts, les droits fondamentaux et les libertés fondamentales des utilisateurs prévalent régulièrement sur les intérêts des exploitants de sites web. En particulier, l’utilisateur ne s’attend pas raisonnablement à ce que L’utilisateur accepte que ses données à caractère personnel soient transmises à des tiers et analysées de manière globale dans le but de créer de la publicité personnalisée et de les associer à des données à caractère personnel obtenues dans d’autres contextes. Cela va bien au-delà de ce queCe qui est autorisé dans le cadre de l’article 6, paragraphe 1, point f) du RGPD. La situation diffère considérablement du cas d’une fonction statistique sur le propre site web ou par le biais d’un traitement de commande.

Il ne reste donc en général que le consentement :

En conclusion, une utilisation légale de Google Analytics n’est généralement possible que sur la base d’un consentement effectif des visiteurs du site web conformément à l’article 6, paragraphe 1, point a), et à l’article 7 du RGPD.

Obtention du consentement

Le consentement au traitement des données personnelles par Google Analytics est soumis aux exigences habituelles. La CCPD constate entre autres que

dans la de consentement soient clairement décrites doit que le traitement est essentiellement effectué par Google, que les données ne sont pas anonymes, quelles données sont traitées et que Google les “utilise à toutes fins utiles, telles que le profilage” et “les associe à d’autres données, telles que d’éventuels comptes Google”. Google doit être expressément mentionné comme destinataire des données ;
Utilisateur actif uniquement consentir (par exemple, en cliquant sur un bouton) ;
aucune donnée ne peut être collectée ou aucun élément ne peut être téléchargé à partir de sites Google avant que le consentement n’ait été donné ;
le consentement n’est donné que volontaire est lorsque la personne concernée a des possibilités de choix et un libre choix. Elle doit également pouvoir refuser de donner son consentement sans subir de préjudice. Le fait de lier le consentement à un service peut avoir pour conséquence que le consentement n’est pas libre.

De plus, une Possibilité d’opposition par exemple en intégrant un bouton correspondant. La simple indication de l’existence d’un site web n’est pas suffisante. Module complémentaire de Google pour l’opt-outLa Commission a estimé que le retrait de l’autorisation n’était pas aussi simple que l’obtention du consentement.

Autres exigences

En outre, la déclaration de confidentialité doit expliquer le traitement effectué par Google Analytics, et les utilisateurs “devraient Raccourcissement de l’adresse IP par Google activer.

DSK : Uti­li­sa­ti­on de Goog­le Ana­ly­tics par des orga­nis­mes privés

Remar­ques

Appli­ca­bi­li­té du RGPD

Répar­ti­ti­on des rôles : Goog­le en tant que co-responsable

Base juri­di­que : consentement

Obten­ti­on du consentement

Aut­res exigences