L'Autorité norvégienne de protection des données prend position contre Google Analytics

Estimant à son tour que son utilisation est « en violation des règles de transfert du RGPD »

Dans une plainte toujours en cours, l'autorité norvégienne de protection des données (Datatilsynet) est parvenue à la conclusion préliminaire que « l'utilisation de Google Analytics était en violation des règles de transfert du RGPD ». L'autorité a rendu les conclusions publiques sur son site Internet (en norvégien uniquement) et prévoit d'adopter une décision finale « au plus tôt fin avril ».

Bien sûr, l'autorité pourrait arriver à une conclusion différente à la fin. Mais nous avons de bonnes raisons de croire que ce ne sera pas le cas et que la Norvège pourrait bientôt rejoindre l'Autriche, la France, l'Italie, la Finlande et le Danemark et interdire pratiquement Google Analytics.

L'accord « Privacy Shield » est venu remplacer l'accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l'Union européenne et les États-Unis, a été annulé par la Cour de justice de l'Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C'est ainsi qu'a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui a activé la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de NOYB.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d'en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou " DSB " a décidé sur un cas modèle par NOYB que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le NOYB à la suite de la décision dite "Schrems II".

Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».


Vient alors la Norvège

La conclusion préliminaire de l'Autorité norvégienne de protection des données est que l'utilisation de Google Analytics n'est pas conforme au règlement sur la protection des données personnelles.