Catégories: Insights

Tag: #dati personali, GDPR


18 Août 2022

Google Analytics : feu rouge de la part du Garant  

Les sites internet qui utilisent le service Google Analytics (GA), sans les garanties prévues par le Règlement (UE) 2016/679 (le « Règlement »), violent la réglementation sur la protection des données, car ils transfèrent aux États-Unis, pays sans niveau de protection approprié, les données des utilisateurs. Ainsi a statué le Garant pour la protection des données personnelles (le « Garant ») par sa décision du 9 juin 2022, suite à une instruction ouverte sur la base d’une série de réclamations et en coordination avec d’autres Autorités Européennes de protection de  la vie privée, et publiée le 23 juin suivant.

GA est un instrument informatique fourni par Google aux gérants de sites internet, leur permettant d’analyser des statistiques détaillées sur les utilisateurs, afin d’optimiser les services qu’ils offrent et de piloter leurs campagnes de marketing.

En ce qui concerne le traitement effectué avec cet instrument, d’après les contrôles effectués par le Garant, il est apparu que les gérants des sites internet (comme la société sanctionnée) collectent, au moyen de cookies transmis au navigateur de l’utilisateur, des informations sur les modalités d’interaction de ces derniers avec le site internet, avec chaque page et avec les services proposés. En l’espèce, les données collectées consistent en : des identificateurs en ligne uniques, qui permettent aussi bien l’identification du navigateur ou du dispositif de l’utilisateur qui visite le site internet, que celle du gérant même du site (au travers de l’ID account Google) ; adresse, nom du site internet et données de navigation ; adresse IP du dispositif de l’utilisateur; informations relatives au navigateur, au système d’exploitation, à la résolution de l’écran, à la langue sélectionnée, ainsi qu’à la date et à l’heure de la visite au site internet.

Ces informations sont transférées aux États-Unis d’Amérique, pays qui, à ce jour, comme le Garant l’a déjà répété plusieurs fois, ne garantit pas un système de protection des données personnelles équivalent à celui prévu au sein de l’Union Européenne. Dans un tel contexte, le Garant a souligné que la réglementation en vigueur aux États-Unis permet aux Autorités gouvernementales et aux services de renseignement nord-américains d’accéder aux informations personnelles à des fins de sécurité nationale, sans les garanties prévues par la réglementation européenne.

Le Garant a aussi réaffirmé que l’adresse IP est une donnée personnelle à tous les effets, dans la mesure où elle permet d’identifier un dispositif de communication électronique, rendant ainsi par conséquent indirectement identifiable la personne concernée en sa qualité d’utilisateur. Et cette donnée, quand bien même elle serait tronquée, ne deviendrait pas une donnée anonyme, étant donnée la capacité de Google de l’associer à d’autres données en sa possession, rendant ainsi possible une ré-identification de l’utilisateur.

Pour tous ces motifs, le Garant a adopté la première d’une série de décisions par lesquelles il a averti la société qui gérait le site objet de l’instruction, la sommant de se conformer au Règlement dans les quatre-vingt-dix jours. Le délai indiqué a été considéré par le Garant comme suffisant pour permettre à celle-ci de prendre les mesures nécessaires au transfert, sous peine de suspension des flux de données effectués, par l’intermédiaire de GA, vers les États-Unis.

À l’échéance des quatre-vingt-dix jours, peut-on lire dans la décision examinée, le Garant vérifiera, également sur la base d’activités spécifiques d’inspection, la conformité au Règlement des transferts effectués par les responsables.

◊◊◊◊

Dans l’attente que l’Union Européenne et les États-Unis d’Amérique arrivent à un accord juridiquement contraignant, garantissant un transfert international avec des protections équivalentes à ce qui est requis en Europe, les gérants des sites internet sont appelés à respecter les prescriptions de la réglementation en vigueur. Cela même en envisageant de faire appel éventuellement à des fournisseurs d’accès européens traitant les données personnelles des utilisateurs à l’intérieur du territoire UE.

Contenus corrélés :

Inscrivez-vous à notre lettre d’information

Contacts

Vous avez besoin d'informations ? Écrivez-nous et notre équipe d'experts vous répondra dans les plus brefs délais.

Remplissez le formulaire

Autres nouveautés et insights

8 Juil 2026

Transparence salariale : un mois après l’entrée en vigueur, deux approches se dessinent sur le marché (The Platform, 8 juillet 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Depuis le 7 juin, les règles de l’Union européenne visant à renforcer le principe de l’égalité de rémunération entre les femmes et les hommes pour un même travail…

2 Juil 2026

Le saviez-vous ? Depuis le 7 juin 2026, le décret législatif n° 96/2026 est pleinement en vigueur

Depuis le 7 juin 2026, le décret législatif n° 96/2026 est pleinement en vigueur. Il introduit également dans l’ordre juridique italien un système structuré de transparence salariale, ayant…

2 Juil 2026

Absence de notification des griefs disciplinaires : la Cour de cassation exclut la nullité du licenciement et la réintégration dans les petites entreprises

Résumé Par un arrêt très récent (n° 17283 du 1er juin 2026), la Cour de cassation s’est prononcée sur la question de l’absence de notification des griefs disciplinaires…

2 Juil 2026

IA et relation de travail : premières orientations des décrets d’application et incidences en matière de protection des données

Avec l’approbation, à titre préliminaire, par le Conseil des ministres, le 10 juin 2026, des premiers projets de décrets législatifs mettant en œuvre la loi d’habilitation en matière…

1 Juil 2026

Durabilité, responsabilité et avenir : un engagement qui grandit avec le temps

À l’occasion de notre 50ᵉ anniversaire, nous avons choisi de regarder vers l’avenir avec la même attention que celle que nous accordons à la préservation de nos racines.…

25 Juin 2026

Égalité salariale et transparence des rémunérations : ce qui va changer en Italie (People are People, 25 juin 2026 – Claudia Cerbone e Martina De Angeli)

Avec le décret législatif n° 96 du 7 mai 2026, entré en vigueur le 7 juin 2026, l’Italie a transposé la Directive (UE) 2023/970 relative à la transparence…