J’aime assez la décision récente du DPA autrichien pour invalider Google Analytics. On y trouve des choses extrêmement passionnantes pour une fois.
https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
Et pour le coup c’est explicitement acté dans la décision autrichienne : vos analyses de risques sur ce simple point ne peut pas ressortir autrement que en « high risk ». Avec tout ce qui suit derrière comme implication pour vos mesures de protection de ces DCP.
Réflexion intéressante aussi, un simple UUID est par nature du coup une DCP. Même si personne ne sait remonter spécifiquement à un individu précis, les services de renseignement peuvent s’en servir pour instruire des recherches et tenter de suivre cette information.