Skip to main content

La décision Schrems II signifie-t-elle que Google Analytics n'est pas conforme au RGPD ?

Pour de nombreuses entreprises de l'UE et des États-Unis, 2022 a ajouté une autre crise à gérer : le suivi de Schrems II déclarant que Google Analytics n'est pas conforme au RGPD.

Qu'est-ce que Schrems II ?

Commissaire à la protection des données contre Facebook Irlande et Maximillian Schrems, également connu sous le nom de Schrems II, conclu le 16 juillet 2020. En bref, la décision de la Cour de justice européenne a annulé le bouclier de protection des données UE-États-Unis, l'accord qui spécifiait les exigences de protection des données personnelles. données des citoyens de l'UE envoyées aux États-Unis.

Cette affaire a remis en question l'utilisation conforme au RGPD de tous les serveurs détenus et exploités par les États-Unis, du fait que des données personnelles de l'UE étaient envoyées aux serveurs cloud de Facebook aux États-Unis et - en vertu du CLOUD Act, US Foreign Intelligence Surveillance Act, et d'autres politiques officielles - pourraient alors être consultées par les agences de renseignement américaines. En bref, les données personnelles des citoyens de l'UE ne sont pas suffisamment protégées conformément au RGPD lorsqu'elles sont transférées sur les serveurs d'entreprises américaines.

Décision Schrems II en Autriche

Après la décision Schrems II, l'association à but non lucratif noyb(Centre européen pour les droits numériques), fondée par Max Schrems, a déposé 101 plaintes contre diverses entreprises qui ont transféré les données de citoyens de l'UE à des entreprises américaines. L'une de ces plaintes concernait netdocktor.at, un site Web de santé qui utilisait Google Analytics pour suivre les visiteurs du site Web. Comme de nombreuses entreprises, netdoktor a continué à utiliser Google Analytics malgré la décision de la Cour européenne de justice. Google, ainsi que d'autres entreprises basées aux États-Unis (Amazon, Facebook, Microsoft, etc.) se sont appuyés sur des clauses contractuelles types (SCC) et des mesures techniques et organisationnelles (TOM) pour aider à convaincre les partenaires de l'UE que leurs mesures de protection physiques et numériques ( clôtures autour des centres de données, cryptage des données, données pseudonymes, etc.) suffisaient à protéger leurs données.

Mais dans l'affaire netdoktor, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a décidé que cela ne suffisait pas. Google Analytics viole le RGPD.Ils expliquent :

" En ce qui concerne les mesures contractuelles et organisationnelles décrites, il n'est pas évident dans quelle mesure [la mesure] est efficace au sens des considérations ci-dessus."

" En ce qui concerne les mesures techniques, il n'est pas non plus reconnaissable (...) dans quelle mesure [la mesure] empêcherait ou limiterait réellement l'accès des agences de renseignement américaines compte tenu de la loi américaine".

Sur la base de cette décision, de nombreux experts estiment que ce n'est que le début. De nombreuses plaintes attendent encore d'être portées devant les tribunaux et l'on s'attend à ce que des décisions similaires soient prises par d'autres pays membres de l'UE.

L'ORD a également déclaré dans sa décision qu'il enquêterait plus avant sur Google en ce qui concerne les règles de transfert de données vers le gouvernement américain sans le consentement explicite de l'exportateur de données de l'UE.

Il n'y a pas encore de sanctions dans cette affaire, mais si le tribunal décide de le faire, elles pourraient atteindre 4% du chiffre d'affaires mondial d'une entreprise.

Impact sur les utilisateurs de Google Analytics

Nous ne sommes pas des avocats et nous ne pouvons pas offrir de conseils juridiques, mais il semble que toute entreprise qui traite les données des citoyens de l'UE par le biais de services fournis par des entreprises basées aux États-Unis soit à risque. En termes d'analyse Web, Google Analytics est le numéro un mondial, mais il y en a beaucoup d'autres dont il faut se méfier. Vérifiez toujours où la société est constituée et où se trouvent ses centres de données.

À long terme, cela signifie que le gouvernement américain et les fournisseurs américains devront apporter d'énormes changements à leurs politiqueset infrastructures actuelles : adopter une législation qui protège les données des citoyens étrangers et héberger des données étrangères en dehors des États-Unis. La Commission européenne est impatiente de trouver un remplaçant au bouclier de protection des données UE-États-Unis, mais il n'existe actuellement aucune solution légale. Les négociations sont en cours, mais nécessitent toujours des modifications juridiques du côté américain. Et sur la base du climat politique et économique actuel, ces choses semblent peu probables dans un avenir prévisible.

L'avenir des données d'analyse Web

Étant donné que le tribunal a conclu que Google Analytics n'est pas conforme au RGPD, ce que Google a niédans une récente déclaration, la question est de savoir vers qui les entreprises se tournent pour obtenir des données d'analyse Web sûres et à faible risque. La première étape consisterait à rechercher des entreprises basées dans l'UE, qui utilisent l'anonymisation IP, qui ne stockent pas les données des utilisateurs et qui sont conformes au GDPR, TTDSG, CCPA et à d'autres lois sur la confidentialité des données - comme Visitor Analytics !

La décision complète de l'ORD, en allemand, peut être consultée ici.