谷歌分析提供网站流量的统计数据。在收到NOYB协会的投诉后,CNIL与其欧洲同行合作,分析了通过该服务收集的数据传输到美国的条件。CNIL认为这些转移是非法的,并命令法国网站经理遵守GDPR,如有必要,在当前条件下停止使用该服务。
谷歌分析(Google Analytics)是一项服务,可以通过在线销售网站等网站进行整合,以衡量互联网用户的访问量。在这种情况下,会为每个访问者分配一个唯一的标识符。该标识符(构成个人数据)和相关数据由谷歌传输到美国。
CNIL收到了NOYB协会的几项投诉,涉及将使用谷歌分析访问网站期间收集的数据转移到美国。NOYB在27个欧盟成员国和其他三个欧洲经济区(EEA)国家总共提出了101项投诉,指控101名数据控制员涉嫌向美国传输个人数据。
CNIL与欧洲同行合作,分析了通过谷歌分析收集的数据转移到美国的条件,以及相关个人所面临的风险。目的是集体得出";施雷姆斯二世";欧盟法院2020年7月16日判决隐私保护无效。CJEU强调了美国情报机构可能会在未得到适当监管的情况下获取传输到美国的个人数据的风险。
CNIL的结论是,向美国的转移目前没有得到充分的监管。事实上,在没有关于向美国传输数据的充分性决定(该决定将确定该国在GDPR方面提供足够水平的数据保护)的情况下,数据传输只能在为这种数据流提供适当保证的情况下进行。
然而,CNIL发现情况并非如此。事实上,尽管谷歌在谷歌分析功能的背景下采取了其他措施来监管数据传输,但这些措施不足以排除美国情报机构获取这些数据的可能性。
因此,使用该服务并将其数据导出的法国网站用户存在风险。
CNIL指出,互联网用户的数据因此被转移到美国,违反了第44条及以下条款。GDPR的一部分。因此,CNIL命令网站经理在必要时停止使用谷歌分析功能(在当前条件下)或使用不涉及欧盟境外转移的工具,使该处理符合GDPR。该网站运营商有一个月的时间来遵守。
关于网站受众测量和分析服务,CNIL建议,这些工具只能用于生成匿名统计数据,因此,如果数据控制员确保不存在非法传输,则可以免除同意。CNIL启动了一项评估计划,以确定哪些解决方案不需要获得同意。
CNIL及其对等机构的调查还涉及导致欧洲互联网用户数据传输到美国的网站使用的其他工具。在不久的将来可能会采取这方面的纠正措施。