D’après l’autorité autrichienne de protection des données personnelles (la DSB), les sites Web qui utilisent Google Analytics n’agissent plus en conformité avec la législation européenne. Ils portent atteinte au règlement général de la protection des données (RGPD).
L’utilisation de cet outil par des millions de sites Web est remise en cause à l’échelle européenne car la décision de l’autorité autrichienne entraîne des réactions similaires des pays européens qui coopèrent au sein du Comité européen de la protection des données.
Quelles seront les conséquences de cette décision sur le fonctionnement des services du numérique en Europe ?
Explication de la décision
Le point de départ de la décision est le dépôt de nombreuses plaintes par l’activiste autrichien Max Schrems qui milite pour la protection des données privées.
À la suite de ces plaintes, en 2020, la Cour de justice de l’Union européenne a opté pour la mise en place de l’arrêt “Schrems II”.
L’arrêt stipule que l’accord des transferts de données entre l’UE et les Etats-Unis appelé Privacy Shield n’est plus conforme à la législation européenne sur la protection des données personnelles.
En effet, les autorités américaines avaient la possibilité de contourner le RGPD en obtenant les données personnelles des européens grâce à cet accord. Il a été annulé en 2020 et la plupart des transferts de données vers les Etats-Unis sont devenus illégaux.
On comprend alors que le problème soulevé par l’autorité autrichienne est le transfert des données des utilisateurs européens vers les Etats-Unis. Des nombreuses entreprises de l’UE utilisent Google Analytics et transmettent leurs données à Google afin que leurs données soient traitées aux Etats-Unis. Ces données peuvent alors être facilement utilisées par les services de renseignement américains pour identifier les internautes européens. Or, selon l’autorité autrichienne, l’utilisation de ces données est une atteinte au droit européen et plus particulièrement au règlement général de la protection des données (RGPD).
La DSB (Datenschutzbehörde), l’autorité de protection des données personnelles autrichiennes, décide pourtant de ne pas sanctionner Google pour l’utilisation des données car elle juge que les fautifs sont les sites autrichiens qui utilisent Google Analytics.
Comprendre les conséquences
La décision de l’autorité autrichienne de la protection des données en préfigure d’autres de la part de l’ensemble des pays de l’UE.
En effet, la décision découle seulement de la première plainte sur les 101 déposées par Max Schrems et suite à ces 101 plaintes les autorités européennes de la protection des données européenne ont décidé de se coordonner.
Notamment, l’autorité de protection des données personnelles des institutions de l’UE a jugé que l’utilisation de Google Analytics par le parlement européen n’est pas conforme au RGPD.
Les plaintes visent également Facebook à cause de son service Facebook Connect. L’outil permet d’utiliser son compte sur le réseau social pour se connecter sur d’autres sites internet, ce qui selon les autorités de protection des données personnelles n’est pas conforme au RGPD.
Le niveau de protection des données pris par Google ou Facebook, n’est pas suffisant au regard du RGPD car le droit américain n’interdit pas l’accès des services de renseignements américains à ces données.
De nombreuses entreprises françaises sont également visées par les plaintes de Max Schrems qui leur reproche l’utilisation de Facebook Connect et Google Analytics. À ce sujet, la CNIL doit rendre sa décision pour les entreprises françaises Huffpost, Leroy Merlin, Free mobile, Décathlon, Auchan ou encore Séphora.
Envisager les risques
Les autorités ont demandé à de nombreux sites européens de mettre en conformité les traitements de données avec le RGPD, avec un délai d’un mois à partir de la mise en demeure.
Ils ont le choix entre ne plus utiliser Google Analytics avec ses fonctionnalités actuelles ou utiliser un outil qui n’entraîne pas le transfert des données en dehors de l’Union Européenne. Un délai d’un mois a été mis en place pour permettre aux gestionnaires des sites concernés de se mettre en conformité.
De plus, les autorités de protection des données recommandent d’utiliser des outils d’analyse d’audience d’un site web qui produit des données statistiques anonymes. La CNIL a de ce fait lancé un programme d’évaluation pour déterminer des solutions exemptées de consentement.
Contactez nos équipes pour découvrir notre offre RGPD !
