Après la Cnil française, c’est au tour de son équivalent italien, la GPDP (Garante per la protezione dei dati personali) de s’intéresser à la console de mesure d’audience Web Google Analytics. L’autorité italienne se montre plus directe que la Cnil et déclare que Google Analytics est interdit car il n’y pas de garanties adéquates sur les transferts de données vers les Etats-Unis.
Une enquête complexe
Cette décision a été prise après une enquête qualifiée de « complexe » par l’autorité. Elle considère que les agences gouvernementales et de renseignement basées aux États-Unis peuvent accéder aux données personnelles transférées sans les garanties requises. Elle estime que les mesures adoptées par Google pour compléter les instruments de transfert de données n’assurent pas un niveau de protection adéquat des données personnelles des utilisateurs.
L’autorité italienne attire l’attention de tous les opérateurs de sites Web italiens, publics et privés, sur l’illégalité des transferts de données vers les États-Unis résultant de l’utilisation de Google Analytics. Tous les responsables doivent vérifier que l’utilisation de cookies et d’autres outils de suivi sur leurs sites Web est conforme à la loi sur la protection des données. Ceci s’applique en particulier à Google Analytics et aux services similaires.
De nombreuses informations recueillies lors de la navigation web
L’autorité italienne a constaté que les opérateurs de sites Web qui utilisent Google Analytics recueillent, via des cookies, des informations sur les interactions des utilisateurs avec les sites Web, les pages visitées et les services proposés. L’ensemble de données collectées comprend l’adresse IP de l’appareil de l’utilisateur ainsi que des informations sur le navigateur, le système d’exploitation, la résolution de l’écran, la langue sélectionnée, la date et l’heure de consultation de la page.
Ces informations sont transférées aux États-Unis. L’autorité italienne réitère qu’une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée – étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu’elle détient.
90 jours pour se mettre en conformité avec le RGPD
Dès lors, un site Web utilisant Google Analytics sans les garanties définies dans le RGPD enfreint la loi sur la protection des données car il transfère les données des utilisateurs aux États-Unis, qui est un pays sans niveau de protection des données adéquat. À l’expiration du délai de 90 jours fixé dans sa décision, l’autorité italienne vérifiera que les transferts de données en cause sont conformes au RGPD de l’Union Européenne, y compris au moyen d’inspections ad hoc.
L’Italie bannit la console de mesure d’audience Web Google Analytics
Pasquale Stanzione, Président de la GPDP