J’aime assez la décision récente du DPA autrichien pour invalider Google Analytics. On y trouve des choses extrêmement passionnantes pour une fois.
https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
C’est une nouvelle fois acté qu’une DCP est une DCP non pas parce que vous pouvez identifier l’individu, mais bien parce qu’il existe quelque part sur la planète un moyen (dont vous n’avez pas forcément connaissance) de lier l’information à l’individu.
Comme résumé par NYOB : « It is sufficient that the data subject can be identified; an actual identification is not necessary. »
Et pour le coup c’est explicitement acté dans la décision autrichienne : vos analyses de risques sur ce simple point ne peut pas ressortir autrement que en « high risk ». Avec tout ce qui suit derrière comme implication pour vos mesures de protection de ces DCP.
Réflexion intéressante aussi, un simple UUID est par nature du coup une DCP. Même si personne ne sait remonter spécifiquement à un individu précis, les services de renseignement peuvent s’en servir pour instruire des recherches et tenter de suivre cette information.
Ça rejoint la notion de « vector » utilisé par la NSA dans les documents Snowden. « On ne sait pas (encore) qui sait, mais on sait que c’est quelqu’un ».
J’aime aussi la réflexion autour de la sensibilité de l’adresse IP (applicable plus généralement à toute DCP). Les services de renseignement US (aussi généralisable à d’autres pays, dont le vôtre) peuvent utiliser cette seule information pour lancer par la suite des attaques/infections/monitoring ou autres actions enfreignant vos droits.