Après la Cnil française, c’est au tour de son équivalent italien, la GPDP (Garante per la protezione dei dati personali) de s’intéresser à la console de mesure d’audience Web Google Analytics. L’autorité italienne se montre plus directe que la Cnil et déclare que Google Analytics est interdit car il n’y pas de garanties adéquates sur les transferts de données vers les Etats-Unis.
Une enquête complexe
Cette décision a été prise après une enquête qualifiée de « complexe » par l’autorité. Elle considère que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises. Elle estime que les mesures adoptées par Google pour compléter les instruments de transfert de données n’assurent pas un niveau de protection adéquat des données personnelles des utilisateurs.
L’autorité italienne attire l’attention de tous les opérateurs de sites Web italiens, publics et privés, sur l’illégalité des transferts de données vers les États-Unis résultant de l’utilisation de Google Analytics. Tous les responsables doivent vérifier que l’utilisation de cookies et d’autres outils de suivi sur leurs sites Web est conforme à la loi sur la protection des données. Ceci s’applique en particulier à Google Analytics et aux services similaires.
De nombreuses informations recueillies lors de la navigation web
L’autorité italienne a constaté que les opérateurs de sites Web qui utilisent Google Analytics recueillent, via des cookies, des informations sur les interactions des utilisateurs avec les sites Web, les pages visitées et les services proposés. L’ensemble de données collectées comprend l’adresse IP de l’appareil de l’utilisateur ainsi que des informations sur le navigateur, le système d’exploitation, la résolution de l’écran, la langue sélectionnée, la date et l’heure de consultation de la page.
Ces informations sont transférées aux États-Unis. L’autorité italienne réitère qu’une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée – étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu’elle détient.
90 jours pour se mettre en conformité avec le RGPD
Dès lors, un site Web utilisant Google Analytics sans les garanties définies dans le RGPD enfreint la loi sur la protection des données car il transfère les données des utilisateurs aux États-Unis, qui est un pays sans niveau de protection des données adéquat. À l’expiration du délai de 90 jours fixé dans sa décision, l’autorité italienne vérifiera que les transferts de données en cause sont conformes au RGPD de l’Union Européenne, y compris au moyen d’inspections ad hoc.
Top lectures en ce moment
-
Trois questions auxquelles les retailers doivent répondre face à l’IA agentique
-
Doctolib lance un assistant vocal de gestion des appels des patients
-
La CDP (Customer Data Platform), un projet clé de la transformation Data d’Axa F...
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.
Je réagis à cet article