Ita­lie : uti­li­sa­ti­on de Goog­le Ana­ly­tics éga­le­ment interdite

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, ,
Ven­te à emporter (AI)
  • Le Garan­te ita­li­en se joint à l’Au­tri­che et à la France pour qua­li­fier la trans­mis­si­on de don­nées per­son­nel­les par Goog­le Ana­ly­tics de communication.
  • L’adres­se IP est con­sidé­rée com­me une don­née à carac­tère per­son­nel ; l’an­ony­mi­sa­ti­on IP n’est qu’u­ne pseud­ony­mi­sa­ti­on et ne suf­fit pas, car Goog­le peut per­mett­re une iden­ti­fi­ca­ti­on supplémentaire.
  • Trans­fert vers les Etats-Unis non auto­ri­sé sans mesu­res sup­p­lé­men­tai­res ; cryp­ta­ge Goog­le insuf­fi­sant, car la clé reste chez Google.

Après Autri­che (auto­ri­té de pro­tec­tion des don­nées) et France (CNIL) l’I­ta­lie (le garant) limi­te éga­le­ment l’uti­li­sa­ti­on de Goog­le Analytics :

Le Garant se ral­lie sur le fond aux décis­i­ons de l’Au­tri­che et de la France. Tout d’a­bord, il exi­ste une Com­mu­ni­ca­ti­on de don­nées per­son­nel­les avant :

  • Lors de l’uti­li­sa­ti­on de Goog­le Ana­ly­tics, des infor­ma­ti­ons sur le com­porte­ment sur un site web sont coll­ec­tées par des coo­kies, ent­re aut­res l’adres­se IP. Dans le cas pré­sent, l’entre­pri­se con­cer­née avait enco­re con­clu l’ac­cord d’uti­li­sa­ti­on avec Goog­le LLC aux États-Unis.
  • Une L’adres­se IP est une don­née à carac­tère per­son­nelL’adres­se IP peut être uti­li­sée pour iden­ti­fier un appa­reil de com­mu­ni­ca­ti­on élec­tro­ni­que, rendant ain­si la per­son­ne con­cer­née iden­ti­fia­ble en tant qu’­uti­li­sa­teur. Cela vaut “en par­ti­cu­lier” lorsque l’adres­se IP est asso­ciée, com­me dans le cas pré­sent, à d’aut­res infor­ma­ti­ons sur le navi­ga­teur uti­li­sé ain­si que sur la date et l’heu­re de la visite.
  • En out­re, les don­nées coll­ec­tées peu­vent être asso­ciées à d’aut­res infor­ma­ti­ons du comp­te d’uti­li­sa­teur con­cer­né chez Google.
  • En l’oc­cur­rence, l’op­ti­on de Rac­cour­cis­se­ment de l’adres­se IP n’a pas été acti­vée avant la trans­mis­si­on aux États-Unis. Une tel­le “anony­mi­sa­ti­on IP” n’est cepen­dant qu’u­ne pseud­ony­mi­sa­ti­on, car Goog­le peut iden­ti­fier l’uti­li­sa­teur par d’aut­res indications.

Cet­te annon­ce serait non auto­ri­sé:

  • Pour sa défen­se, l’entre­pri­se con­cer­née avait notam­ment invo­qué la pro­ba­bi­li­té du ris­que d’ac­cès aux don­nées par les auto­ri­tés et la gra­vi­té de ce ris­que. Le garant rap­pel­le ici que la CJUE, dans le Arrêt Schrems II Cour de justi­ce dans l’ar­rêt pré­ci­té pas à des fac­teurs sub­jec­tifs tels que la pro­ba­bi­li­té d’ac­cès aux don­nées. pris j’ai.
  • Le garant esti­me en out­re à ce sujet que la légis­la­ti­on et les pra­ti­ques du pays tiers empêchent en l’e­spè­ce l’im­por­ta­teur de rem­plir ses obli­ga­ti­ons décou­lant des CSC, sans qu’il ne procè­de à un examen plus appro­fon­di de ce point. Par con­sé­quent mesu­res sup­p­lé­men­tai­res qui garan­tis­sent un niveau de pro­tec­tion équi­va­lent à celui du RGPD sont nécessaires.
  • Les mesu­res pri­ses par Goog­le Mesu­res de cryp­ta­ge ne sont pas suf­fi­san­tes, car la clé reste ent­re les mains de Goog­le, ce qui per­met aux auto­ri­tés d’y accé­der et donc d’ac­cé­der aux don­nées cryptées.

La décis­i­on du Garant n’est plus sur­pren­an­te et n’ap­pel­le guè­re de com­men­tai­res. Le Garant exami­ne lui aus­si uni­quement s’il exi­ste des bases juri­di­ques défi­ci­taires aux Etats-Unis (ce qui est géné­ra­le­ment sup­po­sé depuis Schrems II sans examen pro­pre), mais pas la pro­ba­bi­li­té qu’u­ne auto­ri­té en profite.