BLOG

3 février 2022

Google Analytics viole-t-il le RGPD ? Google Analytics illégal en Europe ?

DSB autrichien : L'utilisation de Google Analytics viole la décision « Schrems II » de la CJUE.

Google Analytics est l'un des services les plus répandus et les plus populaires sur le web : il est utilisé par presque tous les sites web, et même le réseau social Facebook (un milliard d'utilisateurs) en fait confiance. Mais comment peut-il garantir le respect de la nouvelle réglementation européenne sur la protection des données ?

L'année dernière, Google a mis à jour sa politique de confidentialité pour se conformer au RGPD : il a notamment mis en place un nouvel outil pour faire savoir aux gens quelles données sont collectées et comment elles sont utilisées. Les informations sont maintenant plus détaillées et explicites.

Google Analytics ne respecterait cependant pas les règles européennes en matière de transfert de données, considérant que les mesures techniques, organisationnelles et contractuelles adoptées par Google sont insuffisantes : la question est contextualisée dans les activités postérieures à l'arrêt Schrems II qui a déclaré illégitime l'accord Privacy Shield entre Bruxelles et Washington.

Pour la même raison, le CEPD rappelle que Google Analytics doit être considéré comme un "sous-traitant" conformément à l'article 28 du RGPD, mais souligne également que cela ne signifie pas qu'elle est soumise à toutes les dispositions dudit règlement. En effet, si une entreprise souhaite traiter des données à caractère personnel pour le compte d'une autre entité (en l'occurrence Google), elle doit s'assurer qu'il existe des garanties appropriées pour une protection adéquate de ces données (articles 32 à 36).

Dans la foulée de cette décision, les autorités autrichiennes ont demandé à Google de se conformer aux dispositions du Règlement général sur la protection des données (RGPD) adopté en 2018, afin que les utilisateurs puissent obtenir l'accès, la rectification ou la suppression et la portabilité des données.

À cette fin, Google devait fournir une copie de toutes les données traitées pour le compte de chaque utilisateur.

L'autorité de l'ORD a déjà publié un premier rapport d'inspection sur le sujet. Les conclusions sont dévastatrices pour Google, qui ne respecterait pas les règles européennes en matière de transfert de données. En effet, le CEPD rappelle que l'arrêt Schrems II a déclaré l'accord invalide "Privacy Shield"Entre l'UE et les États-Unis concernant les transferts de données personnelles. Le CEPD invite donc Google à poursuivre ses efforts pour se conformer aux normes européennes.

Qu'est-ce que le Privacy Shield et quand a-t-il été aboli ?

Le GDPR Privacy Shield est un accord qui nous permet d'envoyer vos données aux États-Unis.

Le GDPR Privacy Shield est un nouveau cadre pour les flux de données transatlantiques entre les États-Unis et l'UE. Il s'agit d'un "bouclier de confidentialité" car il protège les données personnelles lorsqu'elles sont envoyées de l'UE à des entreprises américaines. L'accord remplace un ancien cadre, appelé « sphère de sécurité », qui a été utilisé par des milliers d'entreprises américaines depuis 2000. La sphère de sécurité a été abolie car elle n'était pas assez solide pour protéger les informations.

Le bouclier de confidentialité GDPR fonctionne différemment de la sphère de sécurité. Utiliser des pouvoirs d'exécution plus forts et des politiques plus strictes pour les entreprises américaines qui traitent les données des citoyens de l'UE. Cela garantira que vos informations personnelles sont bien traitées et utilisées uniquement pour des raisons légales.

Le GDPR Privacy Shield est entré en vigueur le 12 juillet 2016, mais a été controversé depuis. En septembre 2017, les régulateurs de la vie privée de l'UE ont décidé que l'accord n'était pas assez solide pour protéger les informations des personnes. Ils ont déclaré qu'ils prendraient des mesures pour suspendre l'accord si plus aucun changement n'était apporté d'ici septembre 2018.

Quels sont les risques et sanctions pour ceux qui ne se conforment pas au RGPD ?

Tout d'abord, nous devons penser du point de vue que s'il y a des violations, il est probable qu'il puisse y avoir des répercussions et des sanctions.
Par exemple, voici une liste récente d'événements :
9 juin 2021 : le garant italien de la confidentialité bloque l'application PagoPA Spa IO également pour l'exportation de données en dehors de l'UE (également en utilisant Google Cloud quel que soit l'emplacement du serveur en Europe ou aux États-Unis).
15 décembre 2021 : blocage de l'exportation de données hors UE en Allemagne pour l'utilisation de la technologie américaine dans la chaîne de services de gestion du consentement aux cookies.
22 décembre 2021 : en Autriche, le garant bloque Google Analytics car il va à l'encontre du RGPD pour la même raison.
Après 1.5 an et demi à compter du 16 juillet 2020, date à laquelle la Cour de justice européenne a invalidé le bouclier de protection des données américain, les entreprises européennes n'ont toujours pas compris la tendance.

Le RGPD est un gros problème. En fait, les amendes peuvent être énormes - jusqu'à 4 % du chiffre d'affaires annuel global d'une entreprise ou 20 millions d'euros, selon le montant le plus élevé. Vous ne voulez pas risquer de violer le GDPR, ce qui signifie que vous devez savoir ce qu'il dit et comment il s'applique à votre entreprise.

Le règlement général sur la protection des données (RGPD) est un règlement par lequel les États membres de l'Union européenne établissent des normes communes de protection des données pour les citoyens européens concernant la collecte de données personnelles. Elle réglemente également l'exportation de données personnelles en dehors de l'UE.

 

 

Informations sur l'auteur

Né en 1981 et internaute depuis 1994, expert en électronique et électrotechnique dans le secteur des télécommunications, j'ai suivi le cursus en Technologies de l'Information à l'Université de Camerino. Je suis ingénieur systèmes GNU Linux depuis 2005. Fondateur et actionnaire majoritaire de Managed Server Srl, je me concentre sur l'ingénierie des systèmes Linux et les performances web des principaux CMS dont WordPress / WooCommerce / Prestashop / Magento.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de la FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Facebook, Inc. détient les droits sur Facebook® ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente aucune de ces entités de quelque manière que ce soit. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL Via Enzo Ferrari, 9 62012 Civitanova Marche (MC) Italie.

Retour en haut de page