Скріншот із сайту isgoogleanalyticsillegal.com

Французька національна комісія з інформатики та свобод (Commission Nationale de l'Informatique et des Libertés, CNIL) розглянула скарги на американський сервіс Google Analytics. Вивчення трафіку показало, що Google Analytics збирає персональні дані громадян Франції та відправляє їх на американські сервери, порушуючи європейські закони GDPR.

10 лютого 2022 року комісія CNIL заборонила використовувати цю систему веб-аналітики у нинішньому вигляді. Офіційне рішення є обов'язковим для виконання операторами всіх веб-сайтів Франції. На виконання вимог є місяць.

Франція стала третьою країною Євросоюзу після Австрії та Нідерландів, яка ухвалила таке рішення. Все йде до того, що Google Analytics буде заборонено на всій території ЄС.

Витяг з рішення CNIL (аргументація регулятора):

Google Analytics — це служба, яку можна інтегрувати на веб-сайтах, щоб виміряти кількість візитів. Кожному відвідувачеві надається унікальний ID. Цей ідентифікатор (що являє собою персональні дані) та пов'язані з ним дані передаються компанією Google у США.

Комісія CNIL у співпраці з європейськими колегами проаналізувала умови, за яких дані Google Analytics передаються до США, та пов'язані ризики, щоб прояснити наслідки рішення Європейського суду від 16 липня 2020 року (Schrems II). Суд зазначив, що доступ до перданних можуть отримати американські спецслужби.

CNIL зробила висновок, що після рішення Європейського суду передача перданних не регулюється достатньою мірою. Хоча компанія Google вжила додаткових заходів у контексті функціональності Google Analytics, їх недостатньо, щоб унеможливити доступність даних для спецслужб США. Це створює ризик для користувачів французьких сайтів.

Таким чином, дані користувачів передаються в США, порушуючи статтю 44 та наступні статті GDPR.

CNIL наказала власникам сайтів привести цю процедуру у відповідність до GDPR, при необхідності припинивши використання функції Google Analytics (на поточних умовах). У операторів є місяць виконання вимог.

Що стосується веб-аналітики, CNIL рекомендує використовувати виключно анонімну статистику, збирання якої не вимагає згоди користувача, якщо оператор гарантує відсутність незаконної передачі даних.

Рішення CNIL поширюється і інші інструменти, які передають у США дані європейських користувачів. Коригувальні заходи щодо них можуть бути вжиті в найближчому майбутньому.

З тексту офіційного рішення можна дійти невтішного висновку, що CNIL визнала персональними даними чисельний ідентифікатор користувача (Client ID):

Як відомо, бекенд Google Analytics частково перебуває в США, тому деякі дані надсилаються туди автоматично. Мабуть, не так просто створити безліч автономних ізольованих бекендів для кожної юрисдикції.

По темі:

GDPR. Розділ V

Рішення Європейського суду в Люксембурзі від 16 липня 2020 року визнає недійсною угоду EU-U.S. Privacy Shield про передачу перданних між США та ЄС (відомо також як рішення Schrems II)

bbabo.Net