J’aime assez la décision récente du DPA autrichien pour invalider Google Analytics. On y trouve des choses extrêmement passionnantes pour une fois.
https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
Comme résumé par NYOB : « It is sufficient that the data subject can be identified; an actual identification is not necessary. »
J’aime aussi la réflexion autour de la sensibilité de l’adresse IP (applicable plus généralement à toute DCP). Les services de renseignement US (aussi généralisable à d’autres pays, dont le vôtre) peuvent utiliser cette seule information pour lancer par la suite des attaques/infections/monitoring ou autres actions enfreignant vos droits.