L’autorité de protection des données autrichienne se prononce à nouveau sur l’utilisation de l’outil Google Analytics

Dans sa décision du 22 avril 2022, l’autorité autrichienne de protection des données s’est à nouveau prononcée sur l’utilisation de l’outil Google Analytics. Cela fait suite à une première décision de l’autorité autrichienne qui, en janvier dernier, avait estimé que le transfert de données à caractère personnel hors Union Européenne opéré par Google Analytics est contraire au RGPD.

Dans cette nouvelle décision du 22 avril, l’autorité autrichienne réaffirme que les transferts de données opérés par l’utilisation de Google Analytics ne sont pas conformes au RGPD mais semble aller plus loin que dans la précédente décision.

Ici, l’autorité rejette l’argument de Google selon lequel les sites web pouvaient activer l’anonymisation IP lors de l’utilisation de Google Analytics afin de protéger les données transférées de la surveillance américaines. En effet, l’autorité constate que l’anonymisation IP de Google ne concerne que l’adresse IP en tant que telle. Les autres données telles que les identifiants en ligne définis par les cookies ou les données des appareils sont transférées de manière non anonymisée. Aussi, l’autorité constate que l’anonymisation IP n’a lieu qu’après le transfert des données à Google.

L’autorité autrichienne en profite également pour rejeter l’approche fondée sur les risques invoquée par Google (risk based approach). En effet, Google faisait valoir que des garanties supplémentaires ne devraient être nécessaires qu’en cas de risque substantiel pour les droits et libertés de la personne concernée et qu’une clause contractuelle type devrait suffire pour les cas à faible risque (par exemple lorsque seules des données telles que des identifiants en ligne ou des adresses IP sont transférées). L’autorité rejette cette approche et rappelle que le RGPD ne reconnait pas d’approche fondée sur les risques pour les transferts de données vers les pays tiers.

De plus, Google invoquait l’existence de mesures supplémentaires (telles que la publication d’un rapport de transparence, d’une politique de traitement des demandes gouvernementales et l’examen des demandes d’accès aux données), mais également la possibilité de crypter les données. L’autorité de contrôle a estimé ces mesures inutiles, car n’empêchant pas les autorités américaines d’accéder aux données personnelles. La mesure de cryptage est également considérée comme insuffisante puisque Google a toujours la possibilité d’accéder aux données en clair.

L’autorité n’a cependant prononcé aucune sanction. En effet, bien qu’elle considère que la violation de l’article 44 du RGPD est imputable à l’éditeur du site web, elle ne l’a pas sanctionné puisque l’outil avait été retiré avant que la décision soit rendue. Google n’a pas non plus été condamnée puisqu’il incombe à l’exportateur des données de respecter les exigences du chapitre V du RGPD et non à l’importateur.

Pour en savoir plus Décision de l’Autorité autrichienne de protection des données du 22 avril 2022

Associé

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

L’autorité de protection des données autrichienne se prononce à nouveau sur l’utilisation de l’outil Google Analytics

L'ÉQUIPE

GuylaineLombard

Elise Dufour

LucileHerpoux

ElodieCourbo

Benjamin Mourot

FrédériqueAllier

VictoriaLafite

LucasDallongeville

JoséphineLenglart Frémont

Nicolas Moreau

Guylaine
Lombard

Elise
Dufour

Lucile
Herpoux

Elodie
Courbo

Benjamin
Mourot

Frédérique
Allier

Victoria
Lafite

Lucas
Dallongeville

Joséphine
Lenglart Frémont

Nicolas
Moreau