ROME : 23 juin 2022 :
Le site Web qui utilise le service Google Analytics (GA), sans les garanties fournies par le règlement de l'UE, viole la législation sur la protection des données car il transfère les données des utilisateurs aux États-Unis, un pays sans niveau de protection adéquat.
C'est ce qu'a déclaré le garant de la confidentialité à l'issue d'une enquête complexe lancée sur la base d'une série de plaintes et en coordination avec d'autres autorités européennes chargées de la protection de la vie privée. De l'enquête du Garant, il est ressorti que les gestionnaires des sites Web qui utilisent GA recueillent, par le biais de cookies, des informations sur les interactions des utilisateurs avec les sites susmentionnés, les pages individuelles visitées et les services offerts. Parmi les nombreuses données collectées, l'adresse IP de l'appareil de l'utilisateur et des informations relatives au navigateur, au système d'exploitation, à la résolution de l'écran, à la langue sélectionnée, ainsi qu'à la date et l'heure de la visite du site. Ces informations ont été transférées aux États-Unis. En déclarant l'illicéité du traitement, il a été rappelé que l'adresse IP est une donnée personnelle et même si elle était tronquée elle ne deviendrait pas anonyme, compte tenu de la possibilité pour Google de l'enrichir avec d'autres données en sa possession.
À la suite de ces enquêtes, le Garant a adopté la première d'une série de mesures par lesquelles il a mis en garde Caffeina Media Srl qui gère un site web, lui ordonnant de se conformer au Règlement européen dans les quatre-vingt-dix jours. Le délai indiqué a été jugé approprié pour permettre au gestionnaire d'adopter les mesures adéquates pour le transfert, sous peine de suspension, des flux de données effectués, via GA, vers les États-Unis.
Le Garant a souligné, en particulier, la possibilité pour les autorités gouvernementales et les agences de renseignement américaines d'accéder aux données personnelles transférées sans les garanties nécessaires, notant à cet égard que, à la lumière des informations fournies par le CEPD (recommandation n° 1/2020 du 18 juin 2021), les mesures qui intègrent les outils de transfert adoptés par Google ne garantissent pas actuellement un niveau de protection adéquat des données personnelles des utilisateurs.
À cette occasion, l'Autorité attire l'attention de tous les gestionnaires italiens de sites Web, publics et privés, sur l'illégalité des transferts effectués vers les États-Unis via GA, compte tenu également des nombreux rapports et questions reçus par l'Office. Et invite tout responsable de traitement à vérifier la conformité des modalités d'utilisation des cookies et autres outils de suivi utilisés sur ses sites internet, avec une attention particulière à Google Analytics et autres services similaires, avec la législation sur la protection des données personnelles.
À l'expiration du délai de 90 jours attribué à l'entreprise à laquelle la fourniture est adressée, le Garant procédera, également sur la base d'activités d'inspection spécifiques, à la vérification de la conformité avec le Règlement UE des transferts de données effectués par les propriétaires.