Google respecte-t-il le RGPD ?
Pour anticiper, la réponse à la question initiale est oui, Google Analytics et Protection des données RGPD est compatible si une personne informée Consentement des utilisateurs. Cet article explique en détail comment cela se passe.
Un peu d'histoire
Les temps où Google Analytics Les années où les données pouvaient être utilisées en arrière-plan d'un site web sont définitivement révolues. A l'époque, il suffisait d'en faire mention dans la déclaration de protection des données et d'invoquer comme base juridique l'intérêt légitime de l'exploitant du site web pour les statistiques relatives à l'exploitation de sites web. Google Analytics et la protection des données.
Avec le développement de Google Analytics à un instrument de marketing, avec la suppression du Bouclier de protection des données comme base pour le transfert de données avec des entreprises américaines par la CJCE et avec la prise de conscience croissante de nombreux utilisateurs d'Internet pour la protection des données. Vie privée la situation a radicalement changé.
Cela peut aussi s'expliquer par le fait que les annonceurs en ont fait trop. Il y a quelques instants, on s'envoyait des e-mails avec une connaissance en vacances aux Pays-Bas et peu après, en surfant, on voit apparaître des publicités pour des maisons de vacances néerlandaises, ce qui laisse songeur. Les organes de l'administration judiciaire et les autorités de surveillance de la protection des données ont tenu compte de cette situation et ont mis en place le RGPD ainsi que la directive européenne RL 2002/58/CE, qui n'a pas été respectée en partie en Allemagne, dans sa transposition par la loi sur la protection des données dans le domaine des télécommunications et des télémédias (TTDSG).
Avec pour résultat que l'utilisation de Google Analytics et la protection des données dans toute leur ampleur qu'avec une participation volontaire et informée. Consentement est possible. A quoi les utilisateurs consentent-ils et comment l'administration a-t-elle Consentement à regarder ?
Les facettes de la Consentement
1. les Consentement dans la mise en place de Cookies
Lors de la Consentement pour Cookies il ne s'agit pas d'abord de la protection des données, mais de la Intégrité des terminaux. Le § 25 de la TTDSG précise que seule une Consentement des utilisateurs à écrire des données dans la mémoire de leur PC, ordinateur portable, tablette ou smartphone, ou à lire des données sur ces appareils. Nous refusons également qu'une personne entre chez nous sans notre consentement et écrive sur notre tableau d'affichage ou lise les notes sur le réfrigérateur.
2. les Consentement dans le suivi des utilisateurs
Lors du suivi des utilisateurs, les mouvements sur le site web sont enregistrés, les produits dans le panier, les achats et les pages sur lesquelles on a navigué auparavant sont évalués. Le comportement de navigation de l'utilisateur est également suivi sur plusieurs pages web et compilé en un profil. Les autorités de surveillance ainsi que les tribunaux exigent pour cela une Consentement.
3. les Consentement dans un transfert de données vers les États-Unis
Ce sujet est complexe et n'a pas encore fait l'objet d'un débat. Ce qui est clair, c'est que les données collectées via Analytics sont stockées sur les serveurs américains de Google et y sont également traitées à des fins propres à Google. Google est donc responsable au sens du RGPD et n'est plus seulement un sous-traitant qui fournit des analyses et des statistiques. Un accord doit donc être conclu pour une utilisation commune des données. Responsable conformément à l'article 26 du RGPD soient conclus et publiés.
Le transfert de données américaines présente une deuxième facette qu'il convient d'examiner. Par le biais de Google, les autorités de sécurité américaines ont également accès aux données et aux profils des utilisateurs, qui n'ont aucun recours s'ils ne sont pas citoyens américains. Ils ne sont même pas informés de ces accès à leurs données. Ce fait doit également être pris en compte pour une protection efficace des données. Consentement devenir clair.
Nous ne pouvons pas passer sous silence le fait que les autorités de surveillance allemandes, à la différence de celles d'autres pays de l'UE, ont un problème avec la Consentement dans le transfert américain. Il reste donc un risque résiduel pour les entreprises locales et, en cas de décision de l'autorité, la seule solution est de saisir le tribunal. Des voix importantes soutiennent toutefois la solution du consentement en cas de transfert américain. Thomas von Danwitz, juge à la Cour de justice des Communautés européennes et impliqué dans l'arrêt Schrems II, a déclaré dans une interview que les exceptions prévues à l'article 49 de la directive sur la protection des données ne sont pas suffisantes. RGPDet cela inclut la ConsentementLa Commission estime que ces dérogations n'ont pas encore été "explorées". Le point de vue selon lequel la loi limite ces exceptions aux transferts occasionnels est controversé. La déclaration claire de l'article 49, paragraphe 1 RGPD doit ici prévaloir sur la déclaration peu claire du considérant 111. Et les autorités de contrôle en Autriche et en France laissent entendre dans leurs avis sur Analytics la possibilité de Consentement ouvert.
Il y a donc de bonnes raisons d'emprunter cette voie ou de renoncer complètement à l'utilisation de l'ordinateur. Google Analytics de renoncer à l'utilisation de ces produits. Une alternative équivalente à la Consentement n'existe pas. Il est difficile d'imaginer qu'en signant les clauses contractuelles types de l'UE et des mesures complémentaires après un Évaluation de l'impact du transfert (TIA), un résultat positif peut être enregistré. Pour cela, il faut ajouter à la Traitement des données par Google, trop peu d'informations sont disponibles. Une évaluation des risques solide n'est tout simplement pas possible.
Conception de la Consentement
Efficacement, la Consentement que si les utilisateurs sont en mesure de comprendre ces trois aspects, à savoir la mise en place d'un système d'évaluation et de contrôle. Cookies, le Suivi avec le profilage et la personnalisation Marketing et le transfert américain avec la possibilité d'accès des autorités de sécurité doivent être clairement expliqués. Il est clair que cela doit se faire lors de l'entrée sur le site et c'est pourquoi nous avons mis en place les bannières de cookies, également appelées plates-formes globales de gestion du consentement, car il ne s'agit plus depuis longtemps uniquement de Cookies est en cours. L'emplacement des informations est encore en discussion. Selon les défenseurs de la protection des données, tout doit se trouver dans la première fenêtre où l'on donne son accord et non pas à un deuxième niveau après un clic. L'avenir nous dira ce qui est praticable dans ce domaine.
Mais une autre alternative
Il existe toutefois une alternative : si l'exploitant du site web est prêt à renoncer à certaines informations et à l'utilisation de données personnalisées, il est possible d'obtenir des informations plus précises. Marketing de renoncer, il y a le chemin, Google Analytics l'héberger lui-même. Cela permettrait d'éviter le transfert américain à Google. Il est également possible de renoncer à la mise en place de Cookies et donc à la reconnaissance des utilisateurs lors de leur prochaine visite ou sur d'autres sites web. Si l'on se base en plus sur le Suivi des données de son propre site web et ne travaille qu'avec des données pseudonymisées, une Consentement est donc inutile. Bien qu'il y ait ici aussi des autorités de surveillance allemandes qui ont adopté cette approche limitée, il n'y a pas de raison de ne pas l'utiliser. Suivi avec un Adresse IP sans Consentement ne veulent pas être considérés comme tels.
Conclusion :
Google Analytics et la protection des données peut être exploitée de manière conforme dans deux scénarios :
- Sans Consentement avec des prestations réduites, auto-hébergées sans Google, sans Cookies et uniquement pour l'analyse de son propre site web.
- Ou avec une Consentement dans l'utilisation de Cookiesen profilage et en gestion personnalisée des Marketing et dans le transfert des données à Google avec l'accès possible des autorités de sécurité américaines.
Les deux scénarios ne sont pas absolument sûrs du point de vue juridique, car les autorités de surveillance allemandes ne peuvent pas non plus contrôler l'utilisation des données. Consentement pour le transfert américain, ainsi qu'une analyse pseudonyme des visites du site sans Consentement en doute.
German 
English 
Italian 
French