L’autorité italienne de protection des données interdit à son tour Google Analytics

L'Italie est le troisième pays de l'UE à interdire Google Analytics pour avoir transféré illégalement des données personnelles vers les États-Unis. [IB Photography/Shutterstock]

L’organisme italien de protection de la vie privée s’est joint à ses homologues autrichien et français en interdisant le service de Google pour transfert illégal de données vers les États-Unis.

Le garant italien de la vie privée, le Garante per la protezione dei dati personali, a publié jeudi (23 juin) une décision indiquant que les sites web utilisant le service d’analyse web fourni par Google sans les garanties nécessaires violent le règlement général sur la protection des données (RGPD), la loi européenne sur la protection des données.

Cette décision est la dernière d’une série contre Google Analytics, que les autorités chargées de la protection des données accusent de transférer illégalement des données vers les États-Unis, un pays considéré comme ne disposant pas d’un niveau adéquat de protection des données depuis l’arrêt historique « Schrems II » rendu par la Cour de justice de l’UE en juillet 2020.

Le défenseur de la vie privée Max Schrems, qui a donné le nom à cette action en justice, a déposé avec son ONG, NOYB, des dizaines de plaintes à travers les pays de l’UE contre Google Analytics. La première décision qui s’en est suivie est celle de l’autorité autrichienne, puis de l’autorité française.

Transférer des données collectées avec Google Analytics vers les États-Unis est illégal, estime la CNIL

Les garanties proposées par Google « ne suffisent » plus à protéger les données des Européens collectés par Google Analytics et envoyées aux États-Unis, selon la CNIL qui, par sa décision, confirme que les jours sont peut-être comptés pour le service d’analyse d’audience web.

Le Garante a indiqué dans un communiqué que cette décision était le fruit d’une enquête complexe menée à la suite d’une série de plaintes et en coordination avec d’autres organismes européens de protection de la vie privée.

L’enquête a révélé que l’outil d’analyse collecte plusieurs types de données sur les utilisateurs, notamment le type de navigateur web, le système d’exploitation, la langue, la date, l’heure, la résolution de l’écran et, peut-être le plus important, l’adresse IP (Internet Protocol), un numéro unique pour chaque appareil.

Les adresses IP sont considérées comme des données à caractère personnel, car elles peuvent être rattachées à une personne spécifique. Le Garante estime que le fait que l’adresse IP ait été transférée aux États-Unis de manière partielle ne constitue pas en soi une anonymisation, puisque Google est en mesure de la combiner avec d’autres données, par exemple l’adresse électronique.

« L’autorité italienne de protection des données a précisé que Google Analytics n’utilise pas de données anonymes. Ce que Google appelle “l’anonymisation des adresses IP” n’est en fait qu’une simple pseudonymisation, car la suppression d’une partie de l’adresse IP n’empêche pas Google de ré-identifier cet utilisateur, compte tenu des informations qu’il détient sur les internautes dans leur ensemble », explique Gianclaudio Malgieri, professeur associé de droit et technologie à l’EDHEC Business School.

L’autorité italienne n’est pas la seule à avoir mis fin à tout espoir que l’outil d’analyse puisse être utilisé de manière légale si certaines garanties sont en place.

Dans une série de questions-réponses récemment publiée concernant sa décision sur Google Analytics, l’autorité française, la Commission nationale de l’informatique et des libertés (CNIL), a précisé qu’aucune garantie ne pouvait être jugée satisfaisante dans la mesure où toutes les données collectées par le service de Google sont hébergées sur le sol américain.

« En vertu du principe de responsabilité, aussi bien Google que le responsable du traitement des données de l’UE ayant recours à Google Analytics pourraient et devraient adopter des garanties supplémentaires pour rendre le transfert de données licite. À ce jour, les mesures proposées par Google Analytics sont jugées inadéquates », a ajouté M. Malgieri.

Google Analytics n'est pas conforme au RGPD, peu importe les mesures supplémentaires

La CNIL a souhaité se montrer claire : aucune solution durable ne permet aujourd’hui de rendre légale l’utilisation de Google Analytics, faute d’une nouvelle décision d’adéquation, qui risque encore de se faire attendre.

« Google Analytics aide les éditeurs à comprendre comment leurs sites et applications fonctionnent pour leurs utilisateurs, mais pas en identifiant les individus ou en les pistant sur le web. Ces organisations, et non Google, contrôlent les données collectées avec ces outils et la manière dont elles sont utilisées. Google les aide en fournissant une série de garanties, de contrôles et de ressources pour la conformité », a déclaré un porte-parole de Google à EURACTIV.

Le gendarme italien a donné 90 jours au sous-traitant des données en question pour mettre son site web en conformité avec les règles de protection des données de l’UE. Pour le Garante, cela signifie essentiellement l’arrêt total de l’utilisation de Google Analytics, étant donné qu’aucune mesure de protection ne peut être mise en place pour empêcher les services de renseignement américains d’accéder aux données personnelles provenant de l’UE.

Tous les gestionnaires de sites web recevront un avertissement similaire de la part du Garante, qui souligne qu’ils devront revoir leur utilisation de Google Analytics ou d’outils similaires qui transfèrent illégalement des données personnelles vers les États-Unis.

Subscribe to our newsletters

Subscribe