Google Analytics est qualifié de persona non grata en terre italienne. L’autorité italienne de la protection des données a jugé illégal l’utilisation de Google Analytics en raison de risques de transferts de données personnelles vers les Etats-Unis. En prenant cette décision, elle rejoint les rangs des autorités française et autrichienne.
Garante per la protezione dei dati personali, l’équivalent italien de la CNIL française durcit le ton face à Google Analytics, la console de mesure d’audience Web américaine. La sanction est tombée en fin de semaine après une enquête dite « complexe ». Elle a été lancée suite à une vague de plaintes et en coordination avec ses homologues européens. Garante dénonce des violations exercées par Google, l’entreprise mère. Selon elle, depuis les Etats-Unis, les agences gouvernementales et de renseignement américaines peuvent avoir accès aux données personnelles transférées sans les garanties exigées. Le régulateur italien affirme que les mesures adoptées par le géant américain de la technologie pour accompagner les instruments de transfert de données, n’assurent pas un niveau de protection appropriés des données personnelles des utilisateurs.
Les investigations menées par Garante, démontrent que les opérateurs de sites Web qui utilisent Google Analytics recueillent, via des cookies, des informations sur les interactions des utilisateurs, les sites Web, les pages visitées, les services proposés et plusieurs autres informations sensibles. Elle a, de fait, interpellé tous les opérateurs de sites Web italiens (publics et privés) sur l’illégalité des transferts de données vers les États-Unis liée à l’utilisation de Google Analytics.
Par conséquent, un site Web qui utilise Google Analytics sans les garanties énoncées dans le GDPR enfreint les lois sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, un pays qui n’a pas un niveau de protection des données nécessaire. À la fin de la période de 90 jours fixée dans sa décision, les autorités italiennes vérifieront que le transfert de données en question est conforme au RGPD de l’UE, y compris les voies de contrôles spéciaux. Depuis que la Cour de justice de l’Union européenne a déclaré l’invalidation du Privacy Shield, les transferts de données personnelles entre l’UE et les États-Unis ne sont plus déterminés de manière adéquate.
Par ailleurs, la signature d’un nouvel accord politique ne constitue pas une nouvelle décision. Ainsi, pour pouvoir transmettre des données outre-Atlantique, les entités doivent respecter des garanties supplémentaires, particulièrement exigeantes (chiffrement de bout en bout, évaluation des risques, etc.). Cependant, selon les autorités européennes, Google ne respecte pas ces normes et ne peut donc légalement proposer ses services au sein de l’UE.
L