Dans une plainte toujours en cours, l'autorité norvégienne de protection des données (Datatilsynet) est parvenue à la conclusion préliminaire que « l'utilisation de Google Analytics était en violation des règles de transfert du RGPD ». L'autorité a rendu les conclusions publiques sur son site Internet (en norvégien uniquement) et prévoit d'adopter une décision finale « au plus tôt fin avril ».Bien sûr, l'autorité pourrait arriver à une conclusion différente à la fin. Mais nous avons de bonnes raisons de croire que ce ne sera pas le cas et que la Norvège pourrait bientôt rejoindre l'Autriche, la France, l'Italie, la Finlande et le Danemark et interdire pratiquement Google Analytics.
L'accord « Privacy Shield » est venu remplacer l'accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l'Union européenne et les États-Unis, a été annulé par la Cour de justice de l'Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C'est ainsi qu'a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.
En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui a activé la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.
Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.
Max Schrems, président honoraire de NOYB.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les coordonnées et autres décideront de la même manière ».
Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d'en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.
L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE
Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou " DSB " a décidé sur un cas modèle par NOYB que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le NOYB à la suite de la décision dite "Schrems II".
Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».
Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :
« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».
« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».
Vient alors la Norvège
La conclusion préliminaire de l'Autorité norvégienne de protection des données est que l'utilisation de Google Analytics n'est pas conforme au règlement sur la protection des données personnelles.
Envoyé par Autorité norvégienne de protection des données
L'organisation NOYB a déposé une plainte contre un certain nombre de sites Web européens auprès des autorités de contrôle des données de l'EEE. Le contexte est que NOYB pense que les sites Web transfèrent des données personnelles hors de l'EEE en violation du règlement sur la protection des données personnelles (RGPD) en utilisant l'outil d'analyse américain Google Analytics.
L'un des sites Web incriminés, telenor.com, est norvégien et utilisait auparavant Google Analytics. L'Autorité norvégienne de protection des données a donc enquêté sur cette affaire. Notre conclusion préliminaire est que l'utilisation de Google Analytics a enfreint les règles de transfert du RGPD. Nous avons maintenant envoyé un préavis aux parties à l'affaire, afin qu'elles aient la possibilité de commenter les conclusions avant que nous ne prenions une décision.
L'un des sites Web incriminés, telenor.com, est norvégien et utilisait auparavant Google Analytics. L'Autorité norvégienne de protection des données a donc enquêté sur cette affaire. Notre conclusion préliminaire est que l'utilisation de Google Analytics a enfreint les règles de transfert du RGPD. Nous avons maintenant envoyé un préavis aux parties à l'affaire, afin qu'elles aient la possibilité de commenter les conclusions avant que nous ne prenions une décision.
Mais voici pourquoi la situation est peu susceptible de changer.
Google Analytics et le transfert de données
Les problèmes juridiques de Google Analytics avec le RGPD ne sont pas nouveaux : comme nous l'avons noté, d'autres autorités de protection des données ont déjà adopté une position ferme. La plupart de leurs décisions résultent d'un ensemble coordonné de plaintes déposées par l'ONG de protection de la vie privée NOYB, dans un effort stratégique pour pousser les autorités de protection des données vers une application plus stricte des règles de transfert de données du RGPD et de l'arrêt Schrems II de la Cour de justice de l'UE.
Les plaintes de NOYB ont toutes les mêmes arguments : l'utilisation de Google Analytics nécessite le transfert de données personnelles (cookies et adresses IP) à Google LLC, basée en Californie. Mais ce transfert expose les données au risque de surveillance étatique aux États-Unis. Pour cette raison, les données à caractère personnel doivent être protégées par des garanties adéquates contre la surveillance, comme l'a établi la Cour de justice dans l'affaire Schrems II. NOYB affirme que les transferts de données ne disposent pas de ces garanties requises (généralement appelées mesures supplémentaires dans le jargon). Cela rend l'utilisation de Google Analytics incompatible avec le RGPD et l'arrêt Schrems II. Jusqu'à présent, les autorités autrichiennes, françaises et italiennes ont été d'accord avec NOYB, et les autorités danoises et finlandaises ont adopté la même position dans des circonstances différentes.
Qu'ont dit exactement les autres autorités ?
Pour mémoire, toutes les plaintes et décisions concernent techniquement des sites Web spécifiques. C'est pourquoi nous disons que Google Analytics est pratiquement interdit dans certains pays. En théorie, un site Web différent pourrait utiliser Google Analytics légalement en mettant en œuvre des protections différentes et meilleures. Mais la théorie est le mot clef ici. Dans la pratique, il existe très peu de garanties contre la surveillance de l'État. Assurer la sécurité du transfert de données est difficile pour de nombreux services et pratiquement impossible pour Google Analytics, car il est construit autour de cookies et doit traiter les identifiants de cookies en clair pour fonctionner. Ainsi, chaque décision revient pratiquement à une interdiction à l'échelle de l'État, c'est pourquoi les problèmes juridiques de Google attirent beaucoup l'attention de la communauté de la confidentialité.
Que peut-on attendre de la décision ?
Nous n'avons pas de boule de cristal, mais nous pouvons faire une supposition éclairée sur la base d'une vue d'ensemble. Les autorités ont jusqu'à présent abordé les plaintes de NOYB de la même manière. En effet, ils ont coordonné leur démarche au niveau européen, comme le note Datatilsynet lui-même dans son communiqué. C'est pourquoi l'autorité norvégienne se prononcera probablement contre l'utilisation de Google Analytics à terme. Il convient de noter que le Datatilsynet traite la plainte comme un cas transfrontalier. En pratique, cela signifie que d'autres autorités européennes peuvent jouer un rôle en...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
