Le Danemark vient de déclarer Google Analytics illégal, devenant ainsi le quatrième pays européen à conclure que la solution enfreint le RGPD. Décryptage.
Vers une stratégie coordonnée de protection des données
L’agence danoise de protection des données (DPA), Datatilsynet, est devenue le quatrième régulateur national à conclure que la manière dont les entreprises utilisent actuellement Google Analytics enfreint la réglementation de l’Union européenne, qui exige des garanties plus strictes pour les données personnelles déplacées en dehors du bloc.
Dans un jugement publié mercredi 21 septembre, le régulateur a déclaré que l’utilisation de l’outil est illégale car elle permet aux entreprises de déplacer les données des utilisateurs en dehors de l’UE sans les protections prévues par le RGPD. La décision de Datatilsynet fait suite à celles de l’Autriche, de la France et de l’Italie, le régulateur notant que l’avis commun représente une attitude paneuropéenne parmi les régulateurs de données et constitue une étape cruciale vers une stratégie coordonnée.
A lire également sur BtoB Leaders : L’inévitable convergence entre l’ABM et la DemandGen classique
Quatrième revers à la suite
En janvier 2022, l’autorité autrichienne de protection des données Österreichische Datenschutzbehörde a rendu une décision sur l’utilisation de Google Analytics. L’autorité avait déclaré que Google n’avait pas mis en place des mesures suffisamment fortes pour crypter et anonymiser les données collectées via Analytics et envoyées aux États-Unis.
Un mois plus tard, la CNIL, organisme français de surveillance de la protection des données, a estimé que l’utilisation de Google Analytics pouvait enfreindre le RGPD, car les transferts de données vers les États-Unis ne sont pas suffisamment anonymisées. Plus récemment, en juin 2022, l’autorité italienne de protection des données, Garante, a pris position contre les transferts de données vers les États-Unis au moyen de Google Analytics.
L’organisme de surveillance italien a déclaré que l’utilisation de cet outil entraîne la collecte de diverses données sur les utilisateurs, notamment l’adresse IP de l’appareil, les détails du système d’exploitation et du navigateur, la résolution de l’écran, le choix de la langue, ainsi que la date et l’heure de la visite du site. Ces informations sont transférées aux États-Unis sans que des mesures supplémentaires suffisantes soient mises en place pour améliorer le degré de protection par rapport à l’exigence légale de l’UE.
Les organisations danoises qui utilisent Google Analytics ont été invitées par l’autorité à évaluer si leur utilisation continue du service est conforme à la législation sur la protection des données. Dans le cas contraire, l’organisation doit se conformer aux règles d’utilisation de l’outil ou, le cas échéant, cesser de l’utiliser.
A lire également sur BtoB Leaders : Seismic et Microsoft s’associent pour révolutionner le futur de la vente avec Viva Sales