# Décision de légalité Google Analytics - mars 2022

{% hint style="info" %}
[Cliquez ici](https://www.didomi.io/blog/is-google-analytics-illegal-in-europe-heres-what-you-need-to-know) lire des informations supplémentaires sur la décision concernant Google Analytics sur le blog de Didomi.
{% endhint %}

Le 13 janvier, l'autorité autrichienne de protection des données a publié une décision qui semble indiquer que l'utilisation de Google Analytics enfreint le Règlement général sur la protection des données (RGPD) de l'UE. Quelques jours plus tard, le 26 janvier, l'autorité danoise de protection des données a publié une décision aboutissant à des conclusions similaires. Suite à ces décisions, le 10 février, la CNIL (Commission nationale de l'informatique et des libertés) a publié un communiqué sur son site web annonçant que la configuration actuelle de Google Analytics l'empêche d'être conforme.

Dans tous les cas évoqués ci-dessus, ces autorités de protection des données ont indiqué que le transfert des données d'un utilisateur final vers les États-Unis est illégal.

Le raisonnement à l'origine de ces décisions soutenait :

* Google ne peut plus se prévaloir d'une décision d'adéquation (Schrems II)
* Google n'est pas autorisé à fonder le transfert de données sur des clauses contractuelles types puisque les États-Unis n'assurent pas une protection adéquate des données à caractère personnel transférées
* Les mesures contractuelles, organisationnelles et techniques mises en œuvre par Google ne sont pas suffisantes pour garantir un niveau de protection adéquat des données à caractère personnel transférées vers les États-Unis

Pour ces autorités de protection des données, la préoccupation est que les services de renseignement des États-Unis utilisent certains identifiants en ligne (tels que l'adresse IP ou des numéros d'identification uniques) comme point de départ pour leurs activités de surveillance concernant des individus spécifiques. Il est indiqué que «*il ne peut être exclu que ces services de renseignement aient déjà collecté des informations grâce auxquelles les données transmises ici puissent être retracées jusqu'à la personne du requérant*».

[Google a déclaré](https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/) qu'il n'est pas d'accord avec la position des autorités de protection des données et n'a pas encore communiqué sur d'éventuels changements dans le fonctionnement de Google Analytics en Europe. Google suggère qu'un éventuel Privacy Shield 2.0 serait la meilleure voie à suivre.

Pour les clients qui pourraient craindre que l'implémentation actuelle de Google Analytics sur leur site web génère un risque de responsabilité, nous suggérons de suivre les recommandations ci-dessous.

* [Utiliser la fonction d'anonymisation des IP proposée par Google Analytics](#use-ip-anonymization-function-offered-by-google-analytics)
* [Mettre en œuvre des contrôles de confidentialité supplémentaires](#implement-further-privacy-controls)
* [Obtenir le consentement explicite des utilisateurs finaux pour le transfert de données vers les États-Unis](#obtain-end-users-explicit-consent-for-the-data-transfer-to-the-united-states)

***

### Utiliser la fonction d'anonymisation des IP proposée par Google Analytics

Google Analytics propose une fonctionnalité d'anonymisation des adresses IP. Nous recommandons fortement d'activer cette fonctionnalité car elle est mentionnée dans les décisions.

Didomi a cependant des raisons de croire que l'anonymisation de l'adresse IP ne sera pas suffisante. Ce n'est qu'une étape supplémentaire vers la conformité.

### Mettre en œuvre des contrôles de confidentialité supplémentaires

De la désactivation des fonctionnalités de personnalisation publicitaire à la désactivation de la collecte de données, Google propose une série de contrôles que ses clients peuvent mettre en œuvre pour limiter les données collectées lors de l'utilisation de Google Analytics.

Nous vous recommandons de réaliser une analyse de votre utilisation de Google Analytics afin de déterminer si certaines ou toutes ces mesures sont appropriées à la lumière des récentes décisions.

### Obtenir le consentement explicite des utilisateurs finaux pour le transfert de données vers les États-Unis

L'article 49 du RGPD énonce que «*en l'absence d'une décision d'adéquation (...) ou de garanties appropriées (...), un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers (...) n'a lieu (...) que si la personne concernée a consenti explicitement au transfert envisagé, après avoir été informée des risques éventuels de tels transferts pour la personne concernée du fait de l'absence d'une décision d'adéquation et de garanties appropriées.*”

Ce n'est pas une solution idéale du point de vue de l'utilisateur final et, en tant que telle, elle peut être considérée davantage comme une possibilité que comme une recommandation pour l'instant.