En janvier 2022, l'autorité autrichienne de protection des données a rendu une décision sur l'utilisation de Google Analytics par une organisation autrichienne. À son tour, l'Agence danoise de protection des données a examiné l'outil Google Analytics, ses paramètres et les conditions dans lesquelles l'outil est fourni. Sur la base de cet examen, l'Agence danoise de protection des données conclut que l'outil ne peut, sans plus, être utilisé légalement. L'utilisation licite nécessite la mise en place de mesures supplémentaires en plus des paramètres fournis par Google.L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.
En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui relèvent de la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.
Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.
Max Schrems, président honoraire de noyb.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les autorités coordonnées et autres décideront de la même manière ».
Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d’en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.
Le 13 janvier 2022, l'autorité autrichienne de protection des données a décidé sur un cas modèle par noyb que l'utilisation continue de Google Analytics viole le RGPD. La CNIL française a elle aussi été saisie de plusieurs plaintes par l’association NOYB concernant le transfert, vers les États-Unis, de données collectées lors de visites sur des sites Web utilisant Google Analytics.
La CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées dans le cadre de l’utilisation de Google Analytics étaient transférées vers les États-Unis et quels étaient les risques encourus pour les personnes concernées. La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.
Un site Web utilisant Google Analytics (GA) sans les garanties définies dans le RGPD de l'UE enfreint la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, qui sont un pays sans niveau de protection des données adéquat.
La CNIL italienne est parvenue à cette conclusion après un exercice d'enquête complexe qu'elle avait entamé en étroite coordination avec d'autres autorités de protection des données de l'UE à la suite de plaintes qu'elle avait reçues. La CNIL italienne a constaté que les opérateurs de sites Web utilisant GA recueillaient, avec des cookies, des informations sur les interactions des utilisateurs avec les sites Web respectifs, les pages visitées et les services proposés. L'ensemble varié de données collectées à cet égard comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page. Ces informations ont été transférées aux États-Unis. En déterminant que le traitement était illégal, la CNIL italienne a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'elle détient.
Sur la base des conclusions ci-dessus, la CNIL italienne a adopté une décision, qui sera suivie d'autres, réprimandant Caffeina Media S.r.l. – un exploitant de site internet – et lui ordonnant de mettre le traitement en conformité avec le RGPD dans un délai de quatre-vingt-dix jours. Ce délai a été jugé approprié afin de permettre à l'opérateur de mettre en œuvre des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
