Франция забанила Google Analytics
Скриншот с сайта isgoogleanalyticsillegal.com
Французская национальная комиссия по информатике и свободам (Commission Nationale de l’Informatique et des Libertés, CNIL) рассмотрела поступившие жалобы на американский сервис Google Analytics. Изучение трафика показало, что Google Analytics собирает персональные данные граждан Франции и отправляет их на американские серверы в нарушение европейских законов GDPR.
10 февраля 2022 года комиссия CNIL запретила использовать эту систему веб-аналитики в нынешнем виде. Официальное решение обязательно для исполнения операторами всех веб-сайтов Франции. На выполнение требований есть месяц.
Франция стала третьей страной Евросоюза после Австрии и Нидерландов, принявшей такое решение. Всё идёт к тому, что Google Analytics будет запрещён на всей территории ЕС.
Выдержки из решения CNIL (аргументация регулятора):
Google Analytics — это служба, которую можно интегрировать на веб-сайтах для измерения количества визитов. Каждому посетителю присваивается уникальный ID. Этот идентификатор (который представляет собой персональные данные) и связанные с ним данные передаются компанией Google в США.CNIL получила несколько жалоб от ассоциации NOYB [Европейский центр цифровых прав; его основал австрийский юрист Макс Шремс, известный читателям Хабра со студенческих времён — прим.пер.] по поводу передачи в США данных, собранных с помощью Google Analytics. В общей сложности NOYB подала 101 жалобу в 27 государствах-членах ЕС и трёх других государствах Европейской экономической зоны против 101 оператора данных, предположительно передающих персданные в США.
Комиссия CNIL в сотрудничестве с европейскими коллегами проанализировала условия, при которых данные Google Analytics передаются в США, и связанные риски, чтобы прояснить следствия решения Европейского суда от 16 июля 2020 года (Schrems II). Суд указал, что доступ к персданным могут получить американские спецслужбы.
CNIL заключила, что после решения Европейского суда передача персданных не регулируется в достаточной степени. Хотя компания Google приняла дополнительные меры в контексте функциональности Google Analytics, их недостаточно, чтобы исключить доступность данных для спецслужб США. Это создаёт риски для пользователей французских сайтов.
Таким образом, данные пользователей передаются в США в нарушение статьи 44 и последующих статей GDPR.
CNIL предписала владельцам сайтов привести данную процедуру в соответствие с GDPR, при необходимости прекратив использование функции Google Analytics (на текущих условиях). У операторов есть месяц на выполнение требований.
Что касается веб-аналитики, CNIL рекомендует использовать исключительно анонимную статистику, сбор которой не требует согласия пользователя, если оператор гарантирует отсутствие незаконной передачи данных.
Решение CNIL распространяется и на другие инструменты, которые передают в США данные европейских пользователей. Корректирующие меры в их отношении могут быть приняты в ближайшем будущем.
Из текста официального решения можно сделать вывод, что CNIL признала персональными данными численный идентификатор пользователя (Client ID):
Как известно, бэкенд Google Analytics частично находится в США, поэтому некоторые данные отправляются туда автоматически. Видимо, не так просто создать множество автономных изолированных бэкендов для каждой юрисдикции.