Jâaime assez la dĂ©cision rĂ©cente du DPA autrichien pour invalider Google Analytics. On y trouve des choses extrĂȘmement passionnantes pour une fois.
https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
Câest une nouvelle fois actĂ© quâune DCP est une DCP non pas parce que vous pouvez identifier lâindividu, mais bien parce quâil existe quelque part sur la planĂšte un moyen (dont vous nâavez pas forcĂ©ment connaissance) de lier lâinformation Ă lâindividu.
Comme résumé par NYOB : « It is sufficient that the data subject can be identified; an actual identification is not necessary. »
Jâaime aussi la rĂ©flexion autour de la sensibilitĂ© de lâadresse IP (applicable plus gĂ©nĂ©ralement Ă toute DCP). Les services de renseignement US (aussi gĂ©nĂ©ralisable Ă dâautres pays, dont le vĂŽtre) peuvent utiliser cette seule information pour lancer par la suite des attaques/infections/monitoring ou autres actions enfreignant vos droits.
RĂ©flexion intĂ©ressante aussi, un simple UUID est par nature du coup une DCP. MĂȘme si personne ne sait remonter spĂ©cifiquement Ă un individu prĂ©cis, les services de renseignement peuvent sâen servir pour instruire des recherches et tenter de suivre cette information.
Ăa rejoint la notion de « vector » utilisĂ© par la NSA dans les documents Snowden. « On ne sait pas (encore) qui sait, mais on sait que câest quelquâun ».
Et pour le coup câest explicitement actĂ© dans la dĂ©cision autrichienne : vos analyses de risques sur ce simple point ne peut pas ressortir autrement que en « high risk ». Avec tout ce qui suit derriĂšre comme implication pour vos mesures de protection de ces DCP.