L'Autorité norvégienne de protection des données prend position contre Google Analytics

Estimant à son tour que son utilisation est « en violation des règles de transfert du RGPD »

Dans une plainte toujours en cours, l'autorité norvégienne de protection des données (Datatilsynet) est parvenue à la conclusion préliminaire que « l'utilisation de Google Analytics était en violation des règles de transfert du RGPD ». L'autorité a rendu les conclusions publiques sur son site Internet (en norvégien uniquement) et prévoit d'adopter une décision finale « au plus tôt fin avril ».

Bien sûr, l'autorité pourrait arriver à une conclusion différente à la fin. Mais nous avons de bonnes raisons de croire que ce ne sera pas le cas et que la Norvège pourrait bientôt rejoindre l'Autriche, la France, l'Italie, la Finlande et le Danemark et interdire pratiquement Google Analytics.

L'accord « Privacy Shield » est venu remplacer l'accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l'Union européenne et les États-Unis, a été annulé par la Cour de justice de l'Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C'est ainsi qu'a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

En juillet 2020, la Cour de justice européenne a publié son arrêt "Schrems II", affirmant qu'un transfert vers des fournisseurs américains qui a activé la FISA 702 et de l'EO 12.333 viole les règles sur les transferts internationaux de données dans le RGPD. Cet arrêt a donc invalidé l'accord « Privacy Shield » au motif d'une violation du RGPD.

Bien que cela a provoqué des secousses dans l'industrie technologique, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des « clauses contractuelles types » pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens.

Max Schrems, président honoraire de NOYB.eu, une organisation à but non lucratif basée à Vienne, en Autriche, qui s'érige en défenseur des droits numériques avec une orientation paneuropéenne, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l'utilisation de Google Analytics est illégale. Il existe un groupe de travail européen et nous supposons que cette action et les coordonnées et autres décideront de la même manière ».

Google Analytics est une fonctionnalité qui peut être intégrée par les gestionnaires de sites Web tels que des sites de vente en ligne afin d'en mesurer la fréquentation par les internautes. Dans ce cadre, un identifiant unique est attribué à chaque visiteur. Cet identifiant (qui constitue une donnée personnelle) et les données qui lui sont associées sont transférés par Google aux États-Unis.

L'autorité autrichienne de protection des données estime que Google Analytics viole la décision "Schrems II" de la CJUE

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou " DSB " a décidé sur un cas modèle par NOYB que l'utilisation continue de Google Analytics viole le RGPD. Il s'agit de la première décision sur les 101 plaintes types déposées par le NOYB à la suite de la décision dite "Schrems II".

Max Schrems a indiqué : « Au lieu d'adapter les services pour qu'ils soient conformes au RGPD, les entreprises américaines ont essayé d'ajouter simplement du texte à leurs politiques de confidentialité et d'ignorer la Cour de justice. De nombreuses entreprises européennes ont suivi l'exemple au lieu de passer aux options légales ».

Les SCC et les "TOM" ne suffisent pas. Alors que Google a fait des déclarations affirmant qu'il avait mis en œuvre des "Technical and Organizational Measures" (TOM", littéralement "mesures techniques et organisationnelles" qui incluaient des idées comme avoir des clôtures autour des centres de données, examiner les demandes ou avoir un chiffrement de base, le DSB a rejeté ces mesures comme étant absolument inutiles en ce qui concerne à la surveillance américaine (pages 38 et 39 de la décision) :

« En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus ».

« En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine ».


Vient alors la Norvège

La conclusion préliminaire de l'Autorité norvégienne de protection des données est que l'utilisation de Google Analytics n'est pas conforme au règlement sur la protection des données personnelles.

Les parties aux affaires ont la possibilité de commenter l'affaire avant qu'elle ne prenne une décision formelle.

Mais voici pourquoi la situation est peu susceptible de changer.

Google Analytics et le transfert de données

Les problèmes juridiques de Google Analytics avec le RGPD ne sont pas nouveaux : comme nous l'avons noté, d'autres autorités de protection des données ont déjà adopté une position ferme. La plupart de leurs décisions résultent d'un ensemble coordonné de plaintes déposées par l'ONG de protection de la vie privée NOYB, dans un effort stratégique pour pousser les autorités de protection des données vers une application plus stricte des règles de transfert de données du RGPD et de l'arrêt Schrems II de la Cour de justice de l'UE.

Les plaintes de NOYB ont toutes les mêmes arguments : l'utilisation de Google Analytics nécessite le transfert de données personnelles (cookies et adresses IP) à Google LLC, basée en Californie. Mais ce transfert expose les données au risque de surveillance étatique aux États-Unis. Pour cette raison, les données à caractère personnel doivent être protégées par des garanties adéquates contre la surveillance, comme l'a établi la Cour de justice dans l'affaire Schrems II. NOYB affirme que les transferts de données ne disposent pas de ces garanties requises (généralement appelées mesures supplémentaires dans le jargon). Cela rend l'utilisation de Google Analytics incompatible avec le RGPD et l'arrêt Schrems II. Jusqu'à présent, les autorités autrichiennes, françaises et italiennes ont été d'accord avec NOYB, et les autorités danoises et finlandaises ont adopté la même position dans des circonstances différentes.

Qu'ont dit exactement les autres autorités ?

Pour mémoire, toutes les plaintes et décisions concernent techniquement des sites Web spécifiques. C'est pourquoi nous disons que Google Analytics est pratiquement interdit dans certains pays. En théorie, un site Web différent pourrait utiliser Google Analytics légalement en mettant en œuvre des protections différentes et meilleures. Mais la théorie est le mot clef ici. Dans la pratique, il existe très peu de garanties contre la surveillance de l'État. Assurer la sécurité du transfert de données est difficile pour de nombreux services et pratiquement impossible pour Google Analytics, car il est construit autour de cookies et doit traiter les identifiants de cookies en clair pour fonctionner. Ainsi, chaque décision revient pratiquement à une interdiction à l'échelle de l'État, c'est pourquoi les problèmes juridiques de Google attirent beaucoup l'attention de la communauté de la confidentialité.

Que peut-on attendre de la décision ?

Nous n'avons pas de boule de cristal, mais nous pouvons faire une supposition éclairée sur la base d'une vue d'ensemble. Les autorités ont jusqu'à présent abordé les plaintes de NOYB de la même manière. En effet, ils ont coordonné leur démarche au niveau européen, comme le note Datatilsynet lui-même dans son communiqué. C'est pourquoi l'autorité norvégienne se prononcera probablement contre l'utilisation de Google Analytics à terme. Il convient de noter que le Datatilsynet traite la plainte comme un cas transfrontalier. En pratique, cela signifie que d'autres autorités européennes peuvent jouer un rôle en soulevant des objections. Mais nous ne nous attendons pas à ce que cela se produise. L'année dernière, l'autorité française a également soumis sa décision contre Google Analytics à d'autres autorités, et aucune objection n'a été soulevée à ce moment-là.

L'image d'ensemble

Il existe de nombreuses alternatives respectueuses de la vie privée à Google Analytics. Nous pensons qu'une interdiction de Google Analytics n'est pas la fin du monde. Mais le problème des transferts de données est plus important que Google Analytics. De nombreux services basés aux États-Unis nécessitent des transferts de données personnelles et pourraient ensuite être critiqués. Abandonner Google Analytics est relativement facile, mais se passer de services comme Oracle et AWS est une autre histoire. C'est pourquoi les États-Unis et la Commission européenne ont négocié un nouveau cadre de transfert de données pour faciliter les transferts de données et ont pris des mesures pour les mettre en œuvre. En décembre 2022, la Commission a rédigé une décision d'adéquation pour les États-Unis - essentiellement une décision qui facilite grandement les transferts de données avec un pays spécifique. La décision attend l'approbation des États membres et sera certainement contestée devant les tribunaux. Il convient de noter que la Cour de justice de l'UE a déjà invalidé deux décisions d'adéquation pour les États-Unis dans les affaires Schrems I et II. Il est difficile de dire comment une affaire «Schrems III» se déroulera. Pour le moment, l'avenir des transferts de données reste incertain.


Conclusion

Même histoire. Pays différent. Rien de nouveau à voir ici, car nous avons vu différents pays de l'UE arriver à la même conclusion que les autorités norvégiennes. Cependant, chaque pays prenant position contre Google Analytics renforce les arguments en faveur d'une meilleure protection des données. Google a répondu à l'appel toujours croissant pour plus de confidentialité en passant à Google Analytics 4. Cependant, Google Analytics 4 ne résout pas ce problème.

Pour l'instant, Universal Analytics est la version standard de Google Analytics. Dès cette année, Universal Analytics sera progressivement supprimé et remplacé par Google Analytics 4.

Universal Analytics assure le suivi des cookies des utilisateurs par défaut ; Google Analytics 4 ne le fait pas. Certaines options peuvent être activées, mais la plupart sont désactivées par défaut. En outre, pour éviter tout conflit éventuel avec la vie privée, le stockage des adresses IP sera entièrement supprimé de Google Analytics 4.

Ces derniers mois, Google Analytics a fait l'objet d'une pression croissante de la part des régulateurs européens de la vie privée. Plusieurs régulateurs appellent les entreprises à éviter complètement le logiciel. Google aborde implicitement la question en supprimant Universal Analytics.

Google a fourni un calendrier pour la transition d'Universal Analytics vers Google Analytics 4. Toutes les installations standard d'Universal Analytics cesseront de fonctionner le 1^er juillet 2023. La version professionnelle d'Universal Analytics 360 continuera de fonctionner jusqu'au 1^er octobre 2023. Les entreprises auront encore accès aux anciennes données pendant six mois après cette date. Dans l'intervalle, elles sont tenues d'effectuer une mise à jour vers Google Analytics 4.

Source : Autorité norvégienne de protection des données

Et vous ?

Que pensez-vous de la décision de l'Autorité norvégienne ? Êtes-vous surpris de la voir emboîter le pas à ses consœurs française, danoise, autrichienne et italienne ?
Vers une suspension européenne de Google Analytics ?
Des alternatives européennes intéressantes existent-elles ? Si oui, lesquelles pouvez-vous recommander ?