Utilisation illicite de Google Analytics : les exploitants de sites web doivent rectifier le tir après contrôle

En cas d'utilisation de Google Analytics, un consentement est nécessaire.
Catégories :

Suite à un contrôle à grande échelle de la Commission de protection des données et de transparence de Saxe (SDTB), plus de 1 500 exploitants de sites web ont amélioré les exigences de protection des données sur leurs pages. L'utilisation de Google Analytics, qui n'était pas conforme à la protection des données, a notamment dû être corrigée. Ce à quoi les entreprises doivent faire attention.

30.000 sites web en Saxe contrôlés pour des violations du RGPD

En mai 2024, l'autorité de surveillance de la protection des données avait contrôlé environ 30.000 sites web de fournisseurs saxons. Pour 2 300 exploitants de sites web, l'utilisation illégale de Google Analytics a été contestée. Les visiteurs du site web n'avaient auparavant consenti ni à l'installation de cookies d'analyse ni à l'établissement d'une connexion serveur avec Google Analytics.

"Les scans automatisés de sites web effectués par mon autorité ont non seulement permis d'identifier un grand nombre de violations de la protection des données, mais aussi d'en éliminer entre-temps la majeure partie. Sur deux tiers des sites web identifiés, on renonce désormais à l'utilisation de Google Analytics pour suivre le comportement des utilisateurs, ou bien on demande au préalable un consentement clair", déclare Juliane Hundert, commissaire à la protection des données de Saxe.

Les consultations menées par l'autorité ont notamment révélé que, souvent, un nombre considérable de bannières de cookies ne faisaient pas ce que les paramètres promettaient aux utilisateurs. Des services étaient parfois exécutés et des cookies installés alors que les paramètres indiquaient "désactivé". De nombreux responsables n'en avaient pas conscience.

Utilisation de Google Analytics pas d'intérêt légitime

En particulier, lors de l'utilisation de Google Analytics, le SDTB attire l'attention sur le fait qu'un consentement des visiteurs du site web est nécessaire, aussi bien en vertu du RGPD que de la loi sur la protection des données des services numériques de télécommunication (TDDDG).

En effet, selon l'autorité de contrôle, une mise en balance des intérêts conformément à l'article 6, paragraphe 1, point f), du RGPD ("sauvegarde des intérêts légitimes du responsable du traitement ou d'un tiers") doit toujours être adoptée en faveur des utilisateurs d'un site web dans le cas de services d'analyse tels que Google Analytics. Une telle mise en balance des intérêts serait en faveur du visiteur dans le cas d'une analyse web personnalisée des visiteurs d'un site web, car la surveillance ciblée et approfondie du comportement constitue une forte ingérence dans la vie privée du visiteur du site web, selon le SDTB.

"Une observation permanente et approfondie du comportement individuel et la collecte de ces données par le biais d'une multitude d'applications et de sites web vont à l'encontre des attentes raisonnables des visiteurs des sites web en ce qui concerne la portée du traitement en question et ses conséquences", explique encore l'autorité de contrôle.

En raison de ces intérêts prépondérants des visiteurs du site web, l'exploitation de Google Analytics sur la base d'un intérêt légitime de l'exploitant du site web n'est pas possible du point de vue de l'autorité de surveillance. Un consentement explicite est donc nécessaire.

Conseil de lecture : L'EDSA publie des lignes directrices sur l'intérêt légitime

Consentement toujours requis pour l'utilisation de Google Analytics

Cela s'applique également à l'installation et à la lecture de cookies et d'objets dits de stockage conformément à l'article 25 de la TDDSG. Pour ces traitements, une information claire et complète ainsi qu'un consentement sont en principe nécessaires - à moins que l'exception prévue à l'article 25, paragraphe 2, n° 2 de la TDDSG ne s'applique. Selon cette disposition, le stockage et la lecture devraient être impérativement nécessaires pour que le fournisseur d'un service numérique puisse mettre à disposition un service numérique expressément demandé par l'utilisateur. "Ce n'est clairement pas le cas pour Google Analytics. En tant que service d'analyse supplémentaire sans nécessité apparente, le service nécessite clairement un consentement", explique le SDTB.

Au final, un consentement doit être obtenu à la fois en vertu du RGPD et, le cas échéant, en vertu de la TDDSG. Ces consentements peuvent être obtenus de manière couplée, c'est-à-dire en une seule étape, si les bases juridiques et les opérations de traitement sont clairement identifiées.

Si cela n'est pas fait ou si le service n'est pas nécessaire, il convient de désactiver Google Analytics et de supprimer les données collectées de manière illicite.

Si Google Analytics est utilisé sans consentement, il s'agit d'une violation de la protection des données qui peut être sanctionnée par l'autorité de surveillance compétente par des mesures de surveillance pouvant aller jusqu'à une amende.

Source : Communiqué de la commissaire à la protection des données et à la transparence de Saxe

Vous avez besoin de conseils pour l'utilisation de Google Analytics conformément au RGPD et pour l'implémentation de cookies ? Alors prenez contact avec nous :

Tél: +33 1 856 59880

Courrier électronique : paris@2b-advice.com

 

Les tags :
Partager ce post :
fr_FRFrench