La décision Schrems II signifie-t-elle que Google Analytics n'est pas conforme au RGPD ?

Pour de nombreuses entreprises de l'UE et des États-Unis, 2022 a ajouté une autre crise à gérer : le suivi de Schrems II déclarant que Google Analytics n'est pas conforme au RGPD.

Après la décision Schrems II, l'association à but non lucratif noyb(Centre européen pour les droits numériques), fondée par Max Schrems, a déposé 101 plaintes contre diverses entreprises qui ont transféré les données de citoyens de l'UE à des entreprises américaines. L'une de ces plaintes concernait netdocktor.at, un site Web de santé qui utilisait Google Analytics pour suivre les visiteurs du site Web. Comme de nombreuses entreprises, netdoktor a continué à utiliser Google Analytics malgré la décision de la Cour européenne de justice. Google, ainsi que d'autres entreprises basées aux États-Unis (Amazon, Facebook, Microsoft, etc.) se sont appuyés sur des clauses contractuelles types (SCC) et des mesures techniques et organisationnelles (TOM) pour aider à convaincre les partenaires de l'UE que leurs mesures de protection physiques et numériques ( clôtures autour des centres de données, cryptage des données, données pseudonymes, etc.) suffisaient à protéger leurs données.

Mais dans l'affaire netdoktor, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB") a décidé que cela ne suffisait pas. Google Analytics viole le RGPD.Ils expliquent :

Sur la base de cette décision, de nombreux experts estiment que ce n'est que le début. De nombreuses plaintes attendent encore d'être portées devant les tribunaux et l'on s'attend à ce que des décisions similaires soient prises par d'autres pays membres de l'UE.

L'ORD a également déclaré dans sa décision qu'il enquêterait plus avant sur Google en ce qui concerne les règles de transfert de données vers le gouvernement américain sans le consentement explicite de l'exportateur de données de l'UE.

Il n'y a pas encore de sanctions dans cette affaire, mais si le tribunal décide de le faire, elles pourraient atteindre 4% du chiffre d'affaires mondial d'une entreprise.

Nous ne sommes pas des avocats et nous ne pouvons pas offrir de conseils juridiques, mais il semble que toute entreprise qui traite les données des citoyens de l'UE par le biais de services fournis par des entreprises basées aux États-Unis soit à risque. En termes d'analyse Web, Google Analytics est le numéro un mondial, mais il y en a beaucoup d'autres dont il faut se méfier. Vérifiez toujours où la société est constituée et où se trouvent ses centres de données.

À long terme, cela signifie que le gouvernement américain et les fournisseurs américains devront apporter d'énormes changements à leurs politiqueset infrastructures actuelles : adopter une législation qui protège les données des citoyens étrangers et héberger des données étrangères en dehors des États-Unis. La Commission européenne est impatiente de trouver un remplaçant au bouclier de protection des données UE-États-Unis, mais il n'existe actuellement aucune solution légale. Les négociations sont en cours, mais nécessitent toujours des modifications juridiques du côté américain. Et sur la base du climat politique et économique actuel, ces choses semblent peu probables dans un avenir prévisible.

Étant donné que le tribunal a conclu que Google Analytics n'est pas conforme au RGPD, ce que Google a niédans une récente déclaration, la question est de savoir vers qui les entreprises se tournent pour obtenir des données d'analyse Web sûres et à faible risque. La première étape consisterait à rechercher des entreprises basées dans l'UE, qui utilisent l'anonymisation IP, qui ne stockent pas les données des utilisateurs et qui sont conformes au GDPR, TTDSG, CCPA et à d'autres lois sur la confidentialité des données - comme Visitor Analytics !

La décision complète de l'ORD, en allemand, peut être consultée ici.