-
La CNIL Autrichienne : l'usage de Google Analytics est illégal (la France a suivi) 🌩️ Mais son raisonnement tient-il la route ? J'ai un doute en lisant le jugement 😬🧵 1/On twitter.com
♻️ 32 Retweets
❤️ 47 Favorites
Mood 0
-
La traduction en anglais du jugement est assez difficile à lire noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf 🤯 Néanmoins, le problème vient du fait que le transfert de données personnelles vers les US se fait sans les garanties appropriées. 2/Permalink On twitter.com
❤️ 4 Favorites
Mood 0
-
A.k.a. les services de renseignement US pourraient accéder aux données personnelles de citoyens européens, sans les garanties du RGPD (lois US problématiques : FISA section 702, et EO 12.333) 👀 3/Permalink On twitter.com
♻️ 2 Retweets
❤️ 4 Favorites
Mood 0
-
Un point important dans l'évaluation des risques : les services de renseignements peuvent-ils raisonnablement identifier quelqu'un ? D'après la CNIL autrichienne la réponse est oui, car Google serait en mesure de le faire (via les paramètres de mon compte Google) ✔️ 4/Permalink On twitter.com
♻️ 2 Retweets
❤️ 5 Favorites
Mood +2 🙂
-
Pourtant, si on lit la réponse de Google en entier, être connecté à son compte Google n'est pas suffisant ❌ Le site web doit également avoir activé "Google Signals" (encadré en rouge au bas de la screenshot) noyb.eu/sites/default/files/2021-05/2021-04-09_Response_to_Austrian_DPA_-_NOYB_Complaints_b.pdf#page=23 5/Permalink On twitter.com
❤️ 6 Favorites
Mood +1 🙂
-
Il semble que la CNIL Autrichienne n'ait pas intégrée la nécessité d'activer Google Signals côté site web... Sauf que sans Google Signals, pas d'appel à doubleclick, pas de lien avec mon compte Google (même si je suis connecté, et que toutes les options sont activées) 💡 6/Permalink On twitter.com
❤️ 3 Favorites
Mood +3 🙂
-
En l’occurrence, le site web sanctionné n'avait pas activé Google Signals. Donc l'argument de la CNIL autrichienne perd de l'épaisseur... Quid de l'adresse IP direz-vous ? Le site web avait activé l'anonymisation de l'IP via GA, mais est-ce suffisant ? 🤔 7/Permalink On twitter.com
❤️ 3 Favorites
Mood 0
-
La CNIL Autrichienne n'a pas étudié ce point. Cela demandera sans doute une autre enquête suite à une autre plainte 🕵️ 8/Permalink On twitter.com
❤️ 5 Favorites
Mood 0
-
L'identifiant utilisateur GA (Client ID ou CID) reste-t-il problématique dans l'analyse de risques vs les services de renseignements US (même sans possibilité de faire un lien avec un compte Google, et sans adresse IP) ? C'est possible, mais il faudrait le prouver 📜 9/Permalink On twitter.com
♻️ 1 Retweets
❤️ 6 Favorites
Mood +5 🙂
-
Quid de notre CNIL ? Pas d'infos supplémentaires dans son jugement, elle s'appuie sur l'analyse commune aux CNILs européennes, donc sur le jugement de la CNIL autrichienne cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure 🤷♂️ 10/Permalink On twitter.com
♻️ 1 Retweets
❤️ 5 Favorites
Mood 0
-
Opinion personnelle : même sans le 4ème point, l'analyse de risque ne tient pas et l'usage de GA* reste illégal. ❌ * Sans "Google Signals", avec anonymisation des IPs, mais sans implem Server-Side 11/Permalink On twitter.com
♻️ 1 Retweets
❤️ 4 Favorites
Mood +1 🙂
-
Les services de renseignement pourraient demander à Google d'écouter une IP, Google est techniquement en mesure de bypasser sa brique "IP-Anonymization" sur l'IP demandée (cc. @romain_letabli) 👀 12/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood 0
-
Reste une option potentielle avec du server-side tagging, l'IP ne serait plus un "problème". Il faudrait alors s'assurer que Google ou les services américains ne puissent faire le lien entre l'identifiant (Client ID) & l'utilisateur (a.k.a. son device) 🔗 13/Permalink On twitter.com
❤️ 4 Favorites
Mood 0
-
Potentiellement via un containeur self-hosted ou sur un cloud européen (cf. developers.google.com/tag-platform/tag-manager/server-side/manual-setup-guide ou mieux, sans software Google) et/ou en transmettant un Client ID n'ayant rien à voir avec un quelconque identifiant cookie (cc @_RDemol), sans logging côté container 💡 14/Permalink On twitter.com
❤️ 5 Favorites
Mood +3 🙂
-
Là encore, selon la configuration, il faudrait voir ce que donne l'analyse de risques avant de décider de l'illégalité éventuelle du setup Google Analytics 🧐 15/Permalink On twitter.com
❤️ 3 Favorites
Mood 0
-
Autre option, demander le consentement (prévu par l'article 49 du RGPD). Cet article de @randomnessncats en parle : cunderwood.dev/2022/02/13/consent-gdpr-and-google-analytics/ Pas simple, il faudrait au préalable informer du risque d'espionnage côté services de renseignement US 👀 16/Permalink On twitter.com
♻️ 1 Retweets
❤️ 6 Favorites
Mood 0
-
Notez aussi que la surveillance des services de renseignement US basée sur l'infrastructure publicitaire de Google n'a rien de théorique, petit flashback washingtonpost.com/news/the-switch/wp/2013/12/10/nsa-uses-google-cookies-to-pinpoint-targets-for-hacking/ 👀 17/Permalink On twitter.com
♻️ 5 Retweets
❤️ 11 Favorites
Mood 0
-
Et voici la mise en demeure de la CNIL @Cellular_PP/1494021157049221126 🤓 18/Permalink On twitter.com
♻️ 1 Retweets
❤️ 4 Favorites
Mood 0
-
Le consentement pourrait effectivement entrer dans les dérogations au transfert, mais il faudrait tout d'abord informer des risques... 👀 19/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood -2 🙁
-
Sur l'anonymisation de l'IP, la CNIL pointe le caractère optionnel de la fonctionnalité, mais aussi que l'on ne sait pas si cette anonymisation a lieu avant ou après transfert aux US ==> c'est fait 'in-memory' par Google, mais où ? 👀 20/Permalink On twitter.com
♻️ 1 Retweets
❤️ 4 Favorites
Mood 0
-
"la possibilité de relier de telles informations à un compte Google" Même argument que la CNIL autrichienne, mais pas forcément, encore faut-il que le site ait activé "Google Signals" 👀 21/Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
Au global, très beau boulot de la @CNIL 👏 Espérons maintenant que cette décision sera suivi d'effets 💪 22/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood +4 🙂
-
L'anonymisation de l'IP serait fait en Europe, cf services.google.com/fh/files/misc/safeguards_for_international_data_transfers.pdf p13 (via @pal_analytics) 👀 23/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood 0
-
Une difficulté supplémentaire pointée par la CNIL : les identifiants interne et numéros de commande 👀 24/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood 0
-
Comment Google va-t-il s'adapter ? Le webinar "Data Controls in Google Analytics" organisé aujourd'hui était censé donner un peu plus de détail youtube.com/watch?v=zrfqv2BPits En réalité, beaucoup de vent... 🙄 25/Permalink On twitter.com
♻️ 2 Retweets
❤️ 4 Favorites
Mood 0
-
Google fait appel de la décision autrichienne 😈 26/Permalink On twitter.com
♻️ 2 Retweets
❤️ 3 Favorites
Mood +1 🙂
-
Google espère un nouveau Privacy Shield... 🫢 27/Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
GA4 ne loguera plus l'adresse IP (ne résoud pas le problème), et introduira des "new country-level privacy controls" (?). Rien de nouveau si vous avez déjà lu ce billet blog.google/products/marketingplatform/analytics/prepare-for-future-with-google-analytics-4/, et aucun détail sur ces "country-level privacy controls" 🤔 28/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood 0
-
Est-ce que le server-side est une solution ? Google ne veut pas se mouiller ("we can't give any legal advice"), mais indique que le client peut manipuler la donnée avant de l'envoyer à Google, donc potentiellement oui 🤷♂️ 29/Permalink On twitter.com
❤️ 1 Favorite
Mood +2 🙂
-
Permettre au client de choisir la localisation et de chiffrer lui-même ses données, comme c'est déjà le cas sur GCP (cloud.google.com/assured-workloads?hl=fr)? Non, c'est pas prévu pour le moment 🚫 30/Permalink On twitter.com
❤️ 1 Favorite
Mood -3 🙁
-
L’analyse d’impact du transfert des données personnelles vers les US ? Google le fournira à ses clients sur demande (pourquoi est-ce que le document n'est pas public ?) 🧐 31/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood 0
-
Le document est bien public et déjà partagé sur ce thread, "Safeguards for international data transfers with Google's advertising and analytics products" services.google.com/fh/files/misc/safeguards_for_international_data_transfers.pdf Un passage clé, l'anonymisation de l'IP est effectuée dans l'UE 🧐 32/Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
ERRATUM : sans Google Signals, mais si le site web a activé les fonctionnalités de publicité de Google Analytics (developers.google.com/analytics/devguides/collection/gtagjs/cookie-usage#google_analytics_for_display_advertisers_-_cookie_usage), il y a bien appel à doubleclick (avec dépôt de cookie tiers). ==> Lien potentiel avec mon compte Google @pixeldetracking/1493191233166008320 👀 33/Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
Nouvelles mises en demeure de la CNIL sur l'utilisation de GA @NOYBeu/1511367750979100672 👀 34/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood 0
-
Configuration GA : - Pas de cookie doubleclick - Anonymisation de l'IP - Pas de Client ID mais un nouvel identifiant aléatoire ==> Insuffisant selon la CNIL 🧐 35/Permalink On twitter.com
❤️ 2 Favorites
Mood 0
-
Individualisation de l'utilisateur dans son parcours sur le site web + possibilité de relier cet utilisateur à son compte Google = problème 😬 Mais comment Google est-il informé d'une visite sur un site en particulier si pas de cookies doubleclick ? 🤔 36/Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
à savoir, si le site web n'a activé ni les fonctionnalités de publicité de Google Analytics, ni Google Signals @pixeldetracking/1511363860061634564 Comment Google pourrait-il faire le lien avec un compte utilisateur Google ? En passant par du fingerprinting (non documenté) ? 👀 37/Permalink On twitter.com
Mood 0
-
Google informe enfin sur les « EU-focused data-privacy controls » de GA4 : - pas d’IP loggué - processing dans l’UE - possibilité de désactiver Google Signals par région (ex : UE) - possibilité de désactiver les infos de location & device Cf. support.google.com/analytics/answer/12017362 👀 38/Permalink On twitter.com
♻️ 2 Retweets
❤️ 9 Favorites
Mood 0
-
Il va être compliqué de s'appuyer sur le fait que l'IP n'est pas loggué pour soutenir que l'usage de Google Analytics est légal dans l'UE @TC_IntLaw/1520038724683370497 🤨 39/Permalink On twitter.com
♻️ 2 Retweets
❤️ 1 Favorite
Mood 0
-
L'article de @NOYBeu avec le lien vers la décision @NOYBeu/1521006631462526981 👀 40/Permalink On twitter.com
♻️ 1 Retweets
❤️ 2 Favorites
Mood 0
-
L'anonymisation de l'IP sur GA ? Le fait de ne plus logguer l'IP sur GA4 ? "Not effective" selon la CNIL Autrichienne 🧐 41/Permalink On twitter.com
❤️ 3 Favorites
Mood -2 🙁
-
Clarification de la @CNIL, une solution possible pour l'usage de GA est la proxyfication, avec des critères tellement drastiques que l'intérêt de GA devient quasi nul. Pas de referrer ni d'UTM = pas de source de traffic cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite 🧐 42/Permalink On twitter.com
❤️ 5 Favorites
Mood +1 🙂
-
@CNIL Pour le proxy, il est toujours possible de passer par le Server-Side Tagging de Google Tag Manager, mais sans hébergement Google... Ce qui rend la configuration encore plus complexe, cf. developers.google.com/tag-platform/tag-manager/server-side/manual-setup-guide😵💫 43/Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
Les questions-réponses de la @CNIL ne sont pas tout à fait rassurants concernant l'usage d'@AT_Internet_FR, détenu par la société US @piano_io cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics 🤔 44/Permalink On twitter.com
Mood -2 🙁
-
À propos... Suffisant pour échapper à la surveillance US ?! resources.piano.io/news/piano-software-relocates-global-headquarters-to-amsterdam-to-reflect-steadfast-commitment-to-european-data-protection 🤨 45/Permalink On twitter.com
♻️ 1 Retweets
Mood 0
-
Après l'Autriche et la France, l'Italie techcrunch.com/2022/06/23/google-analytics-italy-eu-data-transfers 👀 46/Permalink On twitter.com
❤️ 2 Favorites
Mood 0
-
Un excellent résumé de la CNIL Danoise datatilsynet.dk/english/google-analytics 🙌 47/Permalink On twitter.com
♻️ 1 Retweets
❤️ 3 Favorites
Mood +5 🙂