La CNIL met en demeure des sites français pour leur utilisation de Google Analytics
Les choses se compliquent pour Google Analytics. La CNIL vient de mettre en demeure plusieurs gestionnaires de sites web français pour leur utilisation du service de Google, qui permet d'obtenir tout un tas de statistiques sur l'utilisation de son site web ou de son application. Le problème vient du fait que des données personnelles sont traitées aux États-Unis, un pays qui n'offre pas une protection équivalente au RGPD européen. La CNIL estime donc que la façon dont les données des utilisateurs sont transférées vers les États-Unis est illégale. Elle impose à ces gestionnaires (dont les noms ne sont pas cités) de se conformer sous un mois aux réglementations européennes et de ne plus utiliser cet outil dans les conditions actuelles.
Cette décision fait suite à une opération de l'activiste Max Schrems et de son association NOYB. En 2020, le groupe a posé de multiples plaintes dans toute l'Europe visant des utilisateurs d'outils comme Google et Facebook Connect. 101 réclamations ont été déposées, visant 101 responsables de traitement qui transféraient des données personnelles vers les États-Unis à travers ces outils. En France, on trouve entre autres le Huffpost, Free mobile ou encore Décathlon et Auchan.
Transfert de données entre Europe et États-Unis : la Cour de justice de l'UE fait exploser le Privacy Shield
Les retombées ont commencé à se faire sentir dès le mois dernier pour Google. L'autorité autrichienne de protection des données avait estimé que l'utilisation de Google Analytics par un site traitant des données de santé ne respectait pas la RGPD. Plus précisément, il est considéré que le transfert d’informations vers les États-Unis, bien que pseudonymisé n'est pas suffisamment sécurisé : les données pourraient être récupérées par les services de renseignement américain. Les lois du pays de l'Oncle Sam exigent en effet que les fournisseurs de service laissent un accès aux données personnelles pour les autorités américaines.
Aujourd'hui, la CNIL s'accorde avec son homologue autrichien : l'utilisation de Google Analytics est potentiellement dangereuse, car « les transferts vers les États-Unis ne sont pas suffisamment encadrés ». Elle note qu'il existe un risque pour les internautes français surfant sur un site passant par la solution de Google. Elle demande donc aux gestionnaires mis en demeure de ne plus avoir recours à Google Analytics, ou de se tourner vers un outil qui n'entraîne pas de transfert en dehors de l'UE. Elle ajoute que des « mesures correctrices » pourraient être adoptées prochainement vis-à-vis d'autres outils similaires (sans doute Facebook Connect).
pareil pour les google fonts, les CDN...
@vince29
C’est effectivement l’autre bombe qui passe un peu sous le radar médiatique pour le moment
@sailor29
C'est a dire ?
L'utilisation de CDN et autre produit du genre Google Font sont aussi illégale car tu envois des requetes HTTP (et donc ton IP) vers les serveurs de tiers sans consentement : https://www.serda.com/conseil/transition-num%C3%A9rique/cloud-act-menace-rgpd
@sailor29
OK merci
Pas tout à fait pour les CDN il me semble, car c'est nécessaire au fonctionnement technique du site, ce qui est prévu par la RGPD.
En tous cas tout le monde extrapole que les CDNs sont illégaux mais je ne crois pas qu'il y ait eu de décision dans ce sens.
Sauf que tu ne sais pas ce que fait le CDN de ton IP
@ErGo_404
Je suis d’accord avec ton analyse.
@sailor29
On marche quand même sur la tête avec ces réglementations.
@vicento
Pas du tout !
@Adodane
Fanboy propose un filtre pour bloquer tous les fonts tiers.
https://fanboy.co.nz/fanboy-antifonts.txt
@vince29
ah !
@vince29
"les CDN..."
Un internet sans CDN ça promet quand même 🤭
Ca dépend pour quoi... Au début des années 2 000 ça dérangeait personne que les sites webs hégerbent la totalité du contenu qu'ils utilisent.
Au lieu de faire des requêtes à 60 sites tiers pour les différentes ressources on naura que le site en question. Mon dieu quelle horreur....
@Nielp
“Au début des années 2 000”
comment dire ? 🤔
Tu ne perçoit pas quelques vagues changement dans les usages du Web et de l’Internet en 2022 par rapport à 2000 😳
Une infra sans CDN au regard des contraintes de l’époque c’est assez croquignolet 😄
Au passage l’on pourrait aussi évoquer les grands changements apportés par HTTP/2 🤓
Et les nombreuses évolutions architecturales depuis 2000 issues entre autres du Cloud.
comment dire ? 🤔
Bah c'est le début de l'ADSL ou la fin du RTC donc on peut dire que les sites web de l'époque étaient surtout du texte et/ou des petites images/vidéos.
@bibi81
"Bah c'est le début de l'ADSL ou la fin du RTC donc on peut dire que les sites web de l'époque étaient surtout du texte et/ou des petites images/vidéos."
Le péché originel c’est Tim Berners-Lee, on était tellement bien sur Internet avant le WWW 😂😂😂😉
D'un autre côté, les CDN permettent de se dire 'boarf, c'est qu'un JS de plus'
Quand je vois la quantité de calcul fait côté front sur chaque client au lieu de le faire une seule fois côté serveur, les contrats entre "partenaire" pour que n'importe qui puisse injecter son petit JS etc. je suis nostalgique des sites des années 2000.
Alors oui, les CDN sont importants en 2021 vu le trafic et surtout la "mondialisation" des sources de données. Mais l'industrie en profite salement pour faire du bien crade...
@Nielp
Akamai existait déjà en 2000
@xDave
"Akamai existait déjà en 2000"
Le besoin de CDN est apparu très rapidement avec les envols des usages du Web effectivement 😉
Et au passage très belle suces-story qu’Akamai 👏👏
Bonjour, est-ce que quelqu’un connaît un produit gratuit qui peut remplacer Google analytic et respecte les recommandations de la CNIL ?
@oppidum
En gratos ca depend ton volume de requetes mais ya presque rien a part Matomo installé sur ton propre serveur
@sailor29
Oui, Matomo est à étudier.
Exact !
@oppidum
« Bonjour, est-ce que quelqu’un connaît un produit gratuit qui peut remplacer Google analytic et respecte les recommandations de la CNIL ? »
Bonne question...
@oppidum
Gratuit ? 😂
@oppidum
Matomo
Il y a Abla Analytics https://abla.io qui est gratuit jusqu'à 5000 pages vues par mois. Ils sont référencés sur le site de la CNIL : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience
Donc si je comprends bien : la CNIL indique que GA est invalide car les données sont traités sur le sol US ou le patriot act permet aux services de renseignement d’accéder a n’importe quel information. Du coup elle veut que Google traite ses données sur le sol UE… mais le cloud act American permet aux services de renseignements d’accéder aux serveurs d’entreprise US hors territoire américain… ca change quoi du coup ? 🤔
@sailor29
Normalement la CNIL veille à l’application du RGPD, et donc qu’il n’y ait pas de collecte de données sans le consentement de l’utilisateur. Donc pas que ça soit collecté en Europe non plus. Ou alors il y a un problème
@EricBM1
C’est pourtant bien ce qu’ils reprochent :
« si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données. »
@sailor29
Oui, ce qu’ils veulent c’est d’une part qu’ils ne collectent plus de données sans le consentement des utilisateurs, et que s’ils collectent ceux qui ont donné leur accord, que ces collectes soient stockées en Europe pour les utilisateurs Européens. Et c’est logique car on sait bien que les USA ont un œil sur ces données. En faisant en sorte que ça soit en Europe c’est plus facile de contrôler
Ils l'auront aussi en Europe via leur Cloud Act...
@sailor29
C’est quoi le cloud act ?
@EricBM1
Je crois que toutes entreprises américaines doivent donner accès aux données aux organismes à 3 lettres qui le demandent , que les données soient stockées sur le sol américain, ou dans le cloud, comprendre hors des us donc.
@Tomtomrider
"Je crois que toutes entreprises américaines doivent donner accès aux données aux organismes à 3 lettres qui le demandent , que les données soient stockées sur le sol américain, ou dans le cloud, comprendre hors des us donc."
https://fr.wikipedia.org/wiki/CLOUD_Act
😉
@Tomtomrider
Merci Tomtomrider et YetOneOtherGift. C’est hallucinant le Cloud Act. On comprend mieux certaines décisions visant à protéger la vie privée. Je comprends aussi pourquoi la France ne voulait pas utiliser la solution prête à l’emploi d’Apple et Google pour faire l’appli TousAntiCovid. C’était open bar pour que les USA aient accès aux infos relatifs à la santé des Français. Vraiment, communiquons avec Telegram et Signal !
@sailor29
C’est pourquoi la CNIL n’approuvera sans doute pas une solution où les données seraient stockées en Europe par Google. La seule solution viable pour Google serait un hébergement européen, par une société européenne (via délégation de services), avec envoi à Google US une fois que toutes les données auront été anonymisées, y compris l’IP…
C'est hypocrite de s'attaquer aux entreprises utilisant Google Analytics plutôt que de s'attaquer à Google en direct. C'est quasiment un standard de fait étant donné la puissance et le tarif de l'outil.
@Mageekmomo
Ils s’attaquent aussi à Google et pas que Google
@Mageekmomo
surtout google est dans son droit. Mais s'ils avaient un moyen de faire du localisé en europe ca aiderait leurs client c'est sur.
@Mageekmomo
C’est surtout le seule moyen: une petite pme française préférera payer un service comme matomo une dizaine d’euros plutôt que de prendre des risques, la ou google va utiliser sa puissance pour essayer de contourner le problème
@sailor29
Mais Matomo est quand même une coquille vide. Avez-vous déjà testé ?
Ça ne donne pas grand chose comme données exploitables.
Je sais que c'est une fierté française, mais c'est très loin d'être convaincant.
Je suis d'accord avec vous, l'interface est à chier (je l'utilise en alternative a GA depuis quelques années déjà)... C'est ca le gros probleme de l'europe : on est pas aussi bon que les americains. C'est le cas par exemple sur le cloud on chouine sur AWS/GCP/AZURE mais à côté de ça on aucun produit équivalent, aussi propre et fiable.
@Mageekmomo
"C'est hypocrite de s'attaquer aux entreprises utilisant Google Analytics plutôt que de s'attaquer à Google en direct"
C’ n’est pas de l’hypocrisie: c’est de la bonne stratégie 😉
@YetOneOtherGit
Ouais enfin là on part uniquement du uniqUserId qui est envoyé aux US. C’est un identifiant unique à 128 caractères (de mémoire) type UUID. GA peut être configuré pour ne pas collecter de données personnelles autres que cet identifiant qui ne me semble pas du tout être une donnée personnelle au sens technique du terme : ça l’est dans le sens RGPD et ça me parait être une aberration de ce règlement (une de plus…)
Tout ce qu’on va faire c’est de se tirer une balle dans le pied en nous coupant l’accès à un outil qui n’a pas d’équivalent. On va donc, encore une fois, se retrouver défavorisé par rapport à des géants qui ont les moyens de mettre en place des solutions internes, moyens que les PME et Startups européennes n’ont pas pour la plupart.
Pour moi, cet arrêté est d’une imbécilité sans nom… la dessus je suis vraiment très déçu par la CNIL :(
@fornorst
“Pour moi, cet arrêté est d’une imbécilité sans nom… la dessus je suis vraiment très déçu par la CNIL :(“
Mon propos ne vaut pas jugement sur le fond de la légitimité des actions.
Je saluais simplement l’intelligence de la stratégie pas l’objectif 😉
@YetOneOtherGit
Qu’ils interdisent tout simplement l’hébergement de données par tous les acteurs non européens. Ça clarifierait la situation !
@fornorst
"Qu’ils interdisent tout simplement l’hébergement de données par tous les acteurs non européens. Ça clarifierait la situation !"
J’en sais strictement rien et ce n’est absolument pas mon propos ici.
Le yakafokon c’est pas mon truc 😉
Je salut juste l’intelligence de la stratégie, sans l’once d’un jugement sur le fond 😎
@Mageekmomo
Ces sites qui l’ont choisi je les banni
Qu’ils fasse leur choix he fait le mien et même si nous sommes minoritaires je ne pense pas etre le seul 😋
Pages