-
La CNIL Autrichienne : l'usage de Google Analytics est illégal (la France a suivi) 🌩️ Mais son raisonnement tient-il la route ? J'ai un doute en lisant le jugement 😬🧵 1/
-
La traduction en anglais du jugement est assez difficile à lire noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf 🤯 Néanmoins, le problème vient du fait que le transfert de données personnelles vers les US se fait sans les garanties appropriées. 2/
-
A.k.a. les services de renseignement US pourraient accéder aux données personnelles de citoyens européens, sans les garanties du RGPD (lois US problématiques : FISA section 702, et EO 12.333) 👀 3/
-
Pourtant, si on lit la réponse de Google en entier, être connecté à son compte Google n'est pas suffisant ❌ Le site web doit également avoir activé "Google Signals" (encadré en rouge au bas de la screenshot) noyb.eu/sites/default/files/2021-05/2021-04-09_Response_to_Austrian_DPA_-_NOYB_Complaints_b.pdf#page=23 5/
-
La CNIL Autrichienne n'a pas étudié ce point. Cela demandera sans doute une autre enquête suite à une autre plainte 🕵️ 8/
-
L'identifiant utilisateur GA (Client ID ou CID) reste-t-il problématique dans l'analyse de risques vs les services de renseignements US (même sans possibilité de faire un lien avec un compte Google, et sans adresse IP) ? C'est possible, mais il faudrait le prouver 📜 9/
-
Quid de notre CNIL ? Pas d'infos supplémentaires dans son jugement, elle s'appuie sur l'analyse commune aux CNILs européennes, donc sur le jugement de la CNIL autrichienne cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure 🤷♂️ 10/
-
Les services de renseignement pourraient demander à Google d'écouter une IP, Google est techniquement en mesure de bypasser sa brique "IP-Anonymization" sur l'IP demandée (cc. @romain_letabli) 👀 12/
-
Reste une option potentielle avec du server-side tagging, l'IP ne serait plus un "problème". Il faudrait alors s'assurer que Google ou les services américains ne puissent faire le lien entre l'identifiant (Client ID) & l'utilisateur (a.k.a. son device) 🔗 13/
-
Potentiellement via un containeur self-hosted ou sur un cloud européen (cf. developers.google.com/tag-platform/tag-manager/server-side/manual-setup-guide ou mieux, sans software Google) et/ou en transmettant un Client ID n'ayant rien à voir avec un quelconque identifiant cookie (cc @_RDemol), sans logging côté container 💡 14/
-
Là encore, selon la configuration, il faudrait voir ce que donne l'analyse de risques avant de décider de l'illégalité éventuelle du setup Google Analytics 🧐 15/
-
Autre option, demander le consentement (prévu par l'article 49 du RGPD). Cet article de @randomnessncats en parle : cunderwood.dev/2022/02/13/consent-gdpr-and-google-analytics/ Pas simple, il faudrait au préalable informer du risque d'espionnage côté services de renseignement US 👀 16/
-
Notez aussi que la surveillance des services de renseignement US basée sur l'infrastructure publicitaire de Google n'a rien de théorique, petit flashback washingtonpost.com/news/the-switch/wp/2013/12/10/nsa-uses-google-cookies-to-pinpoint-targets-for-hacking/ 👀 17/
-
Et voici la mise en demeure de la CNIL @Cellular_PP/1494021157049221126 🤓 18/
-
Au global, très beau boulot de la @CNIL 👏 Espérons maintenant que cette décision sera suivi d'effets 💪 22/
-
L'anonymisation de l'IP serait fait en Europe, cf services.google.com/fh/files/misc/safeguards_for_international_data_transfers.pdf p13 (via @pal_analytics) 👀 23/
-
Comment Google va-t-il s'adapter ? Le webinar "Data Controls in Google Analytics" organisé aujourd'hui était censé donner un peu plus de détail youtube.com/watch?v=zrfqv2BPits En réalité, beaucoup de vent... 🙄 25/
-
GA4 ne loguera plus l'adresse IP (ne résoud pas le problème), et introduira des "new country-level privacy controls" (?). Rien de nouveau si vous avez déjà lu ce billet blog.google/products/marketingplatform/analytics/prepare-for-future-with-google-analytics-4/, et aucun détail sur ces "country-level privacy controls" 🤔 28/
-
Permettre au client de choisir la localisation et de chiffrer lui-même ses données, comme c'est déjà le cas sur GCP (cloud.google.com/assured-workloads?hl=fr)? Non, c'est pas prévu pour le moment 🚫 30/
-
Le document est bien public et déjà partagé sur ce thread, "Safeguards for international data transfers with Google's advertising and analytics products" services.google.com/fh/files/misc/safeguards_for_international_data_transfers.pdf Un passage clé, l'anonymisation de l'IP est effectuée dans l'UE 🧐 32/
-
ERRATUM : sans Google Signals, mais si le site web a activé les fonctionnalités de publicité de Google Analytics (developers.google.com/analytics/devguides/collection/gtagjs/cookie-usage#google_analytics_for_display_advertisers_-_cookie_usage), il y a bien appel à doubleclick (avec dépôt de cookie tiers). ==> Lien potentiel avec mon compte Google @pixeldetracking/1493191233166008320 👀 33/
-
Nouvelles mises en demeure de la CNIL sur l'utilisation de GA @NOYBeu/1511367750979100672 👀 34/
-
à savoir, si le site web n'a activé ni les fonctionnalités de publicité de Google Analytics, ni Google Signals @pixeldetracking/1511363860061634564 Comment Google pourrait-il faire le lien avec un compte utilisateur Google ? En passant par du fingerprinting (non documenté) ? 👀 37/
-
Google informe enfin sur les « EU-focused data-privacy controls » de GA4 : - pas d’IP loggué - processing dans l’UE - possibilité de désactiver Google Signals par région (ex : UE) - possibilité de désactiver les infos de location & device Cf. support.google.com/analytics/answer/12017362 👀 38/
-
Il va être compliqué de s'appuyer sur le fait que l'IP n'est pas loggué pour soutenir que l'usage de Google Analytics est légal dans l'UE @TC_IntLaw/1520038724683370497 🤨 39/
-
L'article de @NOYBeu avec le lien vers la décision @NOYBeu/1521006631462526981 👀 40/
-
Clarification de la @CNIL, une solution possible pour l'usage de GA est la proxyfication, avec des critères tellement drastiques que l'intérêt de GA devient quasi nul. Pas de referrer ni d'UTM = pas de source de traffic cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite 🧐 42/
-
@CNIL Pour le proxy, il est toujours possible de passer par le Server-Side Tagging de Google Tag Manager, mais sans hébergement Google... Ce qui rend la configuration encore plus complexe, cf. developers.google.com/tag-platform/tag-manager/server-side/manual-setup-guide😵💫 43/
-
Les questions-réponses de la @CNIL ne sont pas tout à fait rassurants concernant l'usage d'@AT_Internet_FR, détenu par la société US @piano_io cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics 🤔 44/
-
À propos... Suffisant pour échapper à la surveillance US ?! resources.piano.io/news/piano-software-relocates-global-headquarters-to-amsterdam-to-reflect-steadfast-commitment-to-european-data-protection 🤨 45/
-
Après l'Autriche et la France, l'Italie techcrunch.com/2022/06/23/google-analytics-italy-eu-data-transfers 👀 46/
-
Un excellent résumé de la CNIL Danoise datatilsynet.dk/english/google-analytics 🙌 47/