Franta GDPR analitice avocatoo

Franța publică orientări despre cum să folosim analiticile pe website conform GDPR

5 minute • Anca-Teodora Hrițcu • 14 august 2022


În urma unei decizii a Curții de Justiție a Uniunii Europene (CJUE) din 2020 de invalidare a Privacy Shield (Cauza Schrems II), transferurile de date cu caracter personal din Uniunea Europeană în Statele Unite au necesitat mecanisme de protecție suplimentare din partea companiilor din UE, întrucât CJUE a considerat că Legislația SUA nu a oferit garanții suficiente împotriva riscului accesului autorităților publice americane (inclusiv a serviciilor de informații) la datele importate ale rezidenților UE.

În urma acestei hotărâri, mai multe autorități de supraveghere ale UE au primit plângeri de la None of Your Business (NOYB), asociația lui Max Schrems, referitoare la utilizarea soluțiilor de analiză a site-urilor web din SUA utilizate pentru măsurarea audienței online (Analytics Service Solutions-Google Analytics) de către operatorii de date din UE.

În februarie 2022, ca urmare a poziției adoptate de Autoritatea de Supraveghere din Austria în decembrie 2021, Autoritatea Franceză pentru Protecția Datelor (La Commission Nationale de l’Informatique et des Libertés-CNIL) a trimis peste o sută de notificări formale operatorilor de date din UE pe motiv că utilizarea Analytics Service Solutions a condus la transferuri insuficient reglementate în Statele Unite. Aceste notificări au ridicat întrebarea dacă, în conformitate cu prevederile capitolului V din GDPR, măsurile sau setările tehnice ar putea permite utilizarea conformă a Analytics Service Solutions.

Într-o comunicare din 7 iunie 2022, CNIL a considerat mai multe măsuri ca fiind insuficiente, cum ar fi:

  • Simpla implementare a versiunii de bază a Clauzelor Contractuale Standard ale Comisiei Europene ;
  • Simpla schimbare a setărilor pentru procesarea adreselor IP ;
  • Utilizarea criptării identificatorului generat de Analytics Service Solutions; sau
  • Înlocuirea unui astfel de identificator cu un identificator generat de operatorul site-ului web, deoarece o astfel de măsură oferă puține garanții suplimentare sau chiar deloc împotriva posibilei reidentificări a persoanelor vizate.

Principala problemă întâlnită la utilizarea Analytics Service Solutions a fost considerată a fi contactul direct, printr-o conexiune HTTPS, între terminalul individului și serverele administrate de furnizorul Analytics Service Solutions, permițând serverelor să colecteze adresa IP a utilizatorilor.

Cu toate acestea, potrivit CNIL, întreruperea legăturii dintre terminal și server ar putea rezolva această problemă și ar putea concilia utilizarea Analytics Service Solutions cu cerințele GDPR. În acest sens, CNIL a stabilit că utilizarea unui server proxy pentru evitarea oricărui contact direct între terminalul utilizatorului de internet și serverele Analytics Service Solutions poate fi avută în vedere ca o soluție. Cu toate acestea, ar trebui implementate măsuri suplimentare, cum ar fi pseudonimizarea înainte de exportul datelor cu caracter personal (cf Recomandărilor Comitetului European pentru Protecția Datelor 01/2020 din 18 iunie 2021). Operatorii de date ar trebui totuși să poată demonstra că datele cu caracter personal pseudonimizate nu pot fi atribuite unei persoane fizice identificate sau identificabile, chiar dacă sunt verificate cu alte informații și ținând cont de mijloacele de care dispun autoritățile publice susceptibile de a proceda la o astfel de reidentificare.

În plus, CNIL solicită implementarea mai multor măsuri pentru ca „proxyficarea” să fie valabilă și să limiteze datele transferate, inclusiv, dar fără a se limita la următoarele:

  • Absența transferului adresei IP către serverele Analytics Service Solutions. Dacă o locație este transmisă către serverele Analytics Service Solutions, aceasta trebuie să fie efectuată de serverul proxy însuși, iar nivelul de precizie trebuie să asigure că aceste informații nu permit reidentificarea persoanei.
  • Înlocuirea identificatorului utilizatorului cu serverul proxy. Pentru a asigura o pseudonimizare eficientă, algoritmul care efectuează înlocuirea ar trebui să asigure un nivel suficient de coliziune (de exemplu, o probabilitate suficientă ca doi identificatori diferiți să dea un rezultat identic) și să includă o componentă temporală variabilă.
  • Eliminarea informațiilor de referință externe site-ului web.
  • Eliminarea oricărui parametru conținut în URL-urile colectate.
  • Reprocesarea informațiilor care pot duce la generarea unei amprente, cum ar fi agenții utilizator, pentru a elimina cele mai rare configurații care pot duce la reidentificare.
  • Absența oricărei colecții de identificatori între site-uri web (de exemplu, CRM, ID unic).
  • Îndepărtarea oricăror alte date care ar putea duce la reidentificare.

În plus, condițiile de găzduire trebuie luate în considerare în ceea ce privește serverul proxy. Acesta ar trebui să fie găzduit în condiții care să garanteze că datele cu caracter personal prelucrate nu vor fi transferate în afara Spațiului Economic European (SEE) într-o țară care nu asigură un nivel de protecție în esență echivalent cu cel prevăzut în SEE fără a se lua suficiente măsuri tehnice și organizatorice conform hotărârii Schrems II.

Pentru a oferi îndrumări suplimentare, CNIL a publicat pe 7 iunie 2022 un Q&A online în care afirmă că, în urma unor astfel de recomandări, companiile notificate au la dispoziție o perioadă de o lună pentru a se conforma. Această perioadă de o lună poate fi reînnoită la cererea explicită a companiilor care utilizează astfel de soluții.

În orice caz, întrucât implementarea măsurilor menționate mai sus poate fi costisitoare și complexă, operatorii de date au și posibilitatea de a opta pentru utilizarea Analytics Service Solutions care nu transferă date cu caracter personal în afara Uniunii Europene.


Ai nevoie de un avocat specializat pe GDPR care să te ajute să devii conform și să-ți explice pe înțelesul tău legislația? Ai ajuns unde trebuie. Vezi serviciile noastre și contactează-ne pentru o ofertă.

Poză de Anthony Choren pe Unsplash

Lasă un răspuns

Adresa ta de email nu va fi publicată.