# Décision de légalité de Google Analytics - mars 2022

{% hint style="info" %}
[Cliquez ici](https://www.didomi.io/blog/is-google-analytics-illegal-in-europe-heres-what-you-need-to-know) lire des informations supplémentaires sur la décision concernant Google Analytics sur le blog de Didomi.
{% endhint %}

Le 13 janvier, l'autorité autrichienne de protection des données a publié une décision qui semble indiquer que l'utilisation de Google Analytics enfreint le Règlement général sur la protection des données (RGPD) de l'UE. Quelques jours plus tard, le 26 janvier, l'autorité danoise de protection des données a publié une décision aboutissant à des conclusions similaires. Suite à ces décisions, le 10 février, la CNIL (Commission nationale de l'informatique et des libertés) a publié un communiqué sur son site web annonçant que la configuration actuelle de Google Analytics l'empêche d'être conforme.

Dans tous les cas évoqués ci-dessus, ces autorités de protection des données ont indiqué que le transfert des données d'un utilisateur final vers les États-Unis est illégal.

Le raisonnement à l'origine de ces décisions soutenait :

* Google ne peut plus se prévaloir d'une décision d'adéquation (Schrems II)
* Google n'est pas autorisé à fonder le transfert de données sur des clauses contractuelles types puisque les États-Unis n'assurent pas une protection adéquate des données à caractère personnel transférées
* Les mesures contractuelles, organisationnelles et techniques mises en œuvre par Google ne sont pas suffisantes pour garantir un niveau de protection adéquat des données à caractère personnel transférées vers les États-Unis

Pour ces autorités de protection des données, la préoccupation est que les services de renseignement des États-Unis utilisent certains identifiants en ligne (tels que l'adresse IP ou des numéros d'identification uniques) comme point de départ pour leurs activités de surveillance concernant des individus spécifiques. Il est indiqué que «*il ne peut être exclu que ces services de renseignement aient déjà collecté des informations grâce auxquelles les données transmises ici puissent être retracées jusqu'à la personne du requérant*».

[Google a déclaré](https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/) qu'il n'est pas d'accord avec la position des autorités de protection des données et n'a pas encore communiqué sur d'éventuels changements dans le fonctionnement de Google Analytics en Europe. Google suggère qu'un éventuel Privacy Shield 2.0 serait la meilleure voie à suivre.

Pour les clients qui pourraient craindre que l'implémentation actuelle de Google Analytics sur leur site web génère un risque de responsabilité, nous suggérons de suivre les recommandations ci-dessous.

* [Utiliser la fonction d'anonymisation des IP proposée par Google Analytics](#use-ip-anonymization-function-offered-by-google-analytics)
* [Mettre en œuvre des contrôles de confidentialité supplémentaires](#implement-further-privacy-controls)
* [Obtenir le consentement explicite des utilisateurs finaux pour le transfert de données vers les États-Unis](#obtain-end-users-explicit-consent-for-the-data-transfer-to-the-united-states)

***

### Utiliser la fonction d'anonymisation des IP proposée par Google Analytics

Google Analytics propose une fonctionnalité d'anonymisation des adresses IP. Nous recommandons fortement d'activer cette fonctionnalité car elle est mentionnée dans les décisions.

Didomi a cependant des raisons de croire que l'anonymisation de l'adresse IP ne sera pas suffisante. Ce n'est qu'une étape supplémentaire vers la conformité.

### Mettre en œuvre des contrôles de confidentialité supplémentaires

De la désactivation des fonctionnalités de personnalisation publicitaire à la désactivation de la collecte de données, Google propose une série de contrôles que ses clients peuvent mettre en œuvre pour limiter les données collectées lors de l'utilisation de Google Analytics.

Nous vous recommandons de réaliser une analyse de votre utilisation de Google Analytics afin de déterminer si certaines ou toutes ces mesures sont appropriées à la lumière des récentes décisions.

### Obtenir le consentement explicite des utilisateurs finaux pour le transfert de données vers les États-Unis

L'article 49 du RGPD énonce que «*en l'absence d'une décision d'adéquation (...) ou de garanties appropriées (...), un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers (...) n'a lieu (...) que si la personne concernée a consenti explicitement au transfert envisagé, après avoir été informée des risques éventuels de tels transferts pour la personne concernée du fait de l'absence d'une décision d'adéquation et de garanties appropriées.*”

Ce n'est pas une solution idéale du point de vue de l'utilisateur final et, en tant que telle, elle peut être considérée davantage comme une possibilité que comme une recommandation pour l'instant.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.didomi.io/fr/versions-et-annonces/annonces/decision-de-legalite-de-google-analytics-mars-2022.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.