Alors que l'Italie (Garante), la France (CNIL) et l'Autriche (DSB) se sont concentrées sur Google Analytics, la DPA danoise interdit l'utilisation de Google Workspace, c'est-à-dire de tous les produits Google. Pour l'instant, l'interdiction ne concerne que les municipalités, après que l'interdiction de traitement a été abandonnée pour la municipalité d'Helsingør.
Lire la déclaration complète ici (traduction automatique en anglais)
<blockquote><h2>L'autorité de protection des données abandonne l'interdiction de traitement dans l'affaire Chromebook</h2>
Publié le 14 juillet 2022 par Allan Frank. Traduit par deepl.com.
Dans une affaire concernant l'utilisation de Chromebooks dans la municipalité d'Helsingør, l'autorité danoise de protection des données (DPA) critique sévèrement et interdit le transfert vers des pays tiers et l'utilisation de Google Workspace.
Numéro de dossier : 2020-431-0061
<h2>Résumé</h2>Depuis un certain temps, l'autorité de protection des données se concentre sur l'utilisation des Chromebooks et de Google Workspace (anciennement G Suite for Education) dans les municipalités. L'utilisation est répandue dans tout le pays, mais l'autorité de protection des données a eu une affaire en cours dans la municipalité d'Helsingør.
En septembre 2021, l'autorité danoise de protection des données a pris une décision ordonnant à la municipalité d'Helsingør de procéder à une évaluation des risques liés au traitement des données à caractère personnel dans les écoles primaires utilisant des Chromebooks et Workspace. Sur la base de la documentation et de l'évaluation du risque pour les personnes concernées préparées par la municipalité d'Helsingør, l'autorité de protection des données a maintenant constaté que le traitement n'est pas conforme aux exigences du GDPR sur plusieurs points.
"La municipalité d'Helsingør a fait un travail remarquable et habile en cartographiant la manière dont les données personnelles sont utilisées dans les écoles primaires, mais elle met également en évidence les problèmes de protection des données que peuvent poser les méthodes utilisées par les grandes entreprises technologiques", déclare Allan Frank, spécialiste de la sécurité informatique et juriste à l'Autorité danoise de protection des données.
L'Agence de protection des données estime que la municipalité n'a pas évalué les risques concrets liés à la conception du processeur de données. En outre, l'accord sur le traitement des données stipule que les données peuvent être transférées vers des pays tiers dans des situations d'assistance sans le niveau de sécurité requis.
À la lumière de la décision de septembre 2021, l'Autorité de protection des données vient de publier une décision. Cette décision contient notamment les éléments suivants
<ul><li>La suspension de la municipalité d'Helsingør qui effectue des opérations de traitement dans le cadre desquelles des données sont transférées vers des pays tiers sans le niveau de protection requis.</li><li>Une interdiction générale de traitement avec Google Workspace jusqu'à ce qu'une documentation adéquate et une analyse d'impact aient été réalisées et que les opérations de traitement aient été mises en conformité avec le règlement.</li><li>Critique sérieuse du traitement des données personnelles par la municipalité</li></ul>Le CEPD attire l'attention sur le fait que de nombreuses conclusions de cette décision sont susceptibles de s'appliquer à d'autres municipalités utilisant le même modèle de traitement. Le CEPD attend donc de ces municipalités qu'elles prennent elles-mêmes les mesures appropriées à la lumière de la décision - même si le CEPD est en train de finaliser un certain nombre de dossiers concernant d'autres municipalités.
<h2>Décision</h2>L'Autorité danoise de protection des données revient sur le dossier dans lequel la municipalité de Helsingør a notifié une violation de données à caractère personnel à l'Autorité danoise de protection des données le 29 janvier 2020. La notification porte le numéro de référence suivant
<em>ce0e5422ddfb3fefaa9f621cfa0f129127058500</em>
Le 10 septembre 2021, le contrôleur de la protection des données a rendu une décision sur la violation de données à caractère personnel. En particulier, le contrôleur de la protection des données a estimé qu'il y avait des raisons de critiquer sérieusement le fait que le traitement des données à caractère personnel par la municipalité d'Helsingør à l'aide des Chromebooks de Google n'avait pas été effectué conformément à l'article 5, paragraphe 2, du règlement sur la protection des données, cf. article 5, paragraphe 1, points c) et f), et article 5, paragraphe 1, point a), cf. article 6, paragraphe 1, ainsi que l'article 32, paragraphe 1, l'article 33, paragraphe 1, et l'article 35, paragraphe 1.
En outre, le CEPD a estimé qu'il y avait lieu d'adresser une injonction à la commune d'Helsingør pour qu'elle mette en conformité avec le GDPR le traitement des données à caractère personnel effectué à l'aide des Chromebooks de Google. Pour ce faire, la municipalité d'Helsingør devrait procéder à une évaluation des risques de l'activité de traitement, reflétant les flux de données à caractère personnel que le traitement implique. L'évaluation des risques devrait porter en partie sur les options nécessaires pour configurer le produit et répondre aux questions concernant le champ d'application des foyers de la loi sur les écoles publiques pour l'utilisation des Chromebooks que la municipalité exige des élèves. Si le risque pour les droits et libertés des personnes concernées était jugé élevé, la municipalité était également tenue de réaliser une analyse d'impact dans le cadre de l'injonction.
L'injonction a été émise en vertu de l'article 58(2)(d) du règlement sur la protection des données.
En outre, le CEPD a estimé qu'il y avait des raisons d'adresser un avertissement à la municipalité d'Helsingør selon lequel l'utilisation des applications complémentaires de Google G-Suite sans effectuer d'analyse d'impact sur la protection des données, comme l'exige l'article 35, paragraphe 1, du règlement, était susceptible d'enfreindre le GDPR.
Enfin, le CEPD a estimé qu'il y avait des raisons d'imposer une limitation temporaire aux activités de traitement de la municipalité d'Helsingør si les évaluations des risques que la municipalité était tenue d'effectuer montraient un risque élevé pour les droits et libertés des personnes concernées et que la municipalité n'avait pas réduit ces risques à un niveau moins qu'élevé avant l'expiration de la période d'injonction. La restriction implique que le traitement de données à caractère personnel présentant un risque élevé pour les droits et libertés des personnes concernées ne peut avoir lieu tant que les risques n'ont pas été ramenés à un niveau inférieur à élevé.
Suite à la décision de l'autorité de protection des données du 10 septembre 2021, la municipalité d'Helsingør a soumis son évaluation des risques concernant l'utilisation des Google Chromebooks et de G-Suite for Education par lettre du 10 novembre 2021, ainsi que des documents supplémentaires pour démontrer la licéité de l'activité de traitement. En outre, le 9 décembre 2021, la municipalité a soumis des informations complémentaires sur le dossier en réponse à la demande du CEPD du 2 décembre 2021.
Toggle the rest of the statement (long)
<blockquote><h2>Décision</h2>
Après avoir examiné l'évaluation des risques de la municipalité d'Helsingør et la documentation de la municipalité en général, l'Agence pour la protection des données considère qu'il y a des raisons d'émettre une ordonnance d'interdiction à l'encontre de la municipalité d'Helsingør pour le traitement des données à caractère personnel en utilisant les Chromebooks de Google et Workspace for Education. L'interdiction s'applique jusqu'à ce que la municipalité de Helsingør ait mis l'activité de traitement en conformité avec le GDPR, comme indiqué dans la présente décision, et ait produit une documentation adéquate à cet effet.
En outre, tout transfert de données à caractère personnel vers les États-Unis que la municipalité d'Helsingør a chargé Google Cloud EMEA Limited d'effectuer en tant que sous-traitant de données pour la municipalité est suspendu jusqu'à ce que la municipalité d'Helsingør puisse démontrer qu'elle est en conformité avec le chapitre V du GDPR.
L'interdiction et la suspension prennent effet immédiatement, mais la municipalité d'Helsingør dispose d'une période allant jusqu'au 3 août 2022 pour retirer et désactiver les utilisateurs et les droits, et pour supprimer les données déjà transférées.
Les interdictions sont prononcées en vertu de l'article 58, paragraphe 2, points f) et j), du règlement sur la protection des données.
La violation d'une interdiction émise par l'autorité de protection des données est passible, en vertu de l'article 41, paragraphe 2, point 4, de la loi sur la protection des données, d'une amende ou d'une peine d'emprisonnement n'excédant pas six mois, conformément à l'article 41, paragraphe 1.
Enfin, le contrôleur de la protection des données estime qu'il y a lieu de critiquer sérieusement le fait que le traitement des données à caractère personnel par la municipalité d'Helsingør n'a pas été effectué conformément à l'article 5, paragraphe 2, du règlement sur la protection des données, cf. article 5, paragraphe 1, point a), article 24, cf. article 28, paragraphe 1, article 35, paragraphe 1, et article 44, cf. article 46, paragraphe 1.
<h2>Résumé</h2>Le 11 décembre 2019, un citoyen s'est plaint auprès de l'autorité de protection des données du traitement de données à caractère personnel par la municipalité d'Helsingør.
Par lettre datée du 6 janvier 2020, la municipalité d'Helsingør a confirmé qu'un parent s'était plaint à la municipalité en 2019 que son enfant avait - à son insu - reçu un compte YouTube, ce qui permettait de publier le nom de l'enfant sur YouTube.
La municipalité d'Helsingør a également déclaré qu'elle considérait que l'incident n'était pas susceptible d'avoir entraîné un risque pour les droits et libertés des personnes concernées et qu'il n'avait donc pas donné lieu à la notification d'une violation de données à caractère personnel au DPA, conformément à l'article 33, paragraphe 1, du GDPR.
Le 29 janvier 2020, la municipalité d'Helsingør a notifié l'incident au DPA en tant que violation de données à caractère personnel. Dans le même temps, un certain nombre d'autres municipalités ont fait des notifications similaires, raison pour laquelle l'autorité de protection des données a traité les affaires conjointement et, par lettre datée du 11 mars 2020, l'autorité a demandé aux municipalités concernées de donner leur avis.
Le 10 septembre 2021, l'autorité de contrôle de la protection des données a pris une décision sur la violation de données à caractère personnel en question notifiée à l'autorité de contrôle par la municipalité d'Helsingør. La décision de l'autorité de protection des données du 10 septembre 2021 est reproduite ci-dessus à la section 1 et est jointe dans son intégralité.
En réponse à la décision du 10 septembre 2021, la municipalité d'Helsingør a soumis son évaluation des risques concernant l'utilisation des Google Chromebooks et de G-Suite for Education par lettre datée du 10 novembre 2021, ainsi que des documents supplémentaires pour démontrer la licéité de l'activité de traitement. En outre, le 9 décembre 2021, la municipalité a soumis des informations complémentaires sur le dossier en réponse à la demande du CEPD du 2 décembre 2021.
<h2>Avis de la municipalité de Helsingør</h2><h3>Réalisation d'une évaluation des risques, y compris, le cas échéant, d'une analyse d'impact relative à la protection des données</h3>Le 10 novembre 2021, la municipalité d'Helsingør a soumis son évaluation des risques liés à l'utilisation des Chromebooks de Google et de G-Suite for Education (Google Workspace for Education).
Dans le même temps, la municipalité d'Helsingør a informé l'autorité de protection des données qu'elle n'utilisait pas les services supplémentaires de Google Workspace et a donc estimé qu'elle n'était pas tenue de réaliser une analyse d'impact relative à la protection des données.
<h3>Traitement des données à caractère personnel à d'autres fins</h3>Parmi les risques identifiés par la municipalité d'Helsingør dans le cadre de l'utilisation des Google Chromebooks, le risque d'"utilisation des données à des fins non prévues" apparaît dans l'évaluation des risques. Ce risque est décrit comme suit :
<blockquote>"Il existe un risque que Google ou d'autres tiers utilisent les données à caractère personnel des enseignants et des élèves à des fins de marketing ou à d'autres fins pour lesquelles la municipalité de Helsingør, en tant que responsable du traitement, ne souhaite pas que des données à caractère personnel soient traitées. Les informations de contact, l'adresse IP et les traces numériques (informations générales) sont particulièrement pertinentes dans ce contexte. Il convient de noter que les données à caractère personnel relatives aux élèves font l'objet d'une protection spéciale en vertu des règles de protection des données et que, par conséquent, l'accès aux données à caractère personnel relatives aux élèves et leur traitement constituent un élément supplémentaire dans le cadre de l'évaluation des risques".
</blockquote>En ce qui concerne la probabilité que ce risque se concrétise, il est indiqué ce qui suit :
<blockquote>"La municipalité utilise le produit Google Workspace for Education Standard, pour lequel l'accord de traitement des données garantit à la municipalité que les données ne seront pas utilisées à d'autres fins, y compris à des fins de marketing, à condition que la municipalité n'utilise que les services de base.
Il est fait référence à l'accord sur le traitement des données et à la correspondance de la municipalité d'Helsingør avec Google, où Google a déclaré que "les informations dans le cadre de l'utilisation des Chromebooks et de Google Workspace for Education Standard ne peuvent pas être utilisées par Google à des fins de marketing à l'égard d'un élève ou des élèves d'une classe". "Aucune publicité n'est affichée dans les services de base de Google Workspace for Education. De même, aucune des informations personnelles collectées dans les services de base n'est utilisée à des fins publicitaires. (ii) Le nom d'utilisateur des élèves, également lié au compte Google Workspace for Education créé, n'est accessible qu'à Google en tant que responsable du traitement des données, et l'utilisation des Chromebooks et de Google Workspace for Education - par exemple le visionnage de vidéos YouTube - ne conduit pas à la publication du nom d'utilisateur". "L'administration de l'école peut autoriser les élèves à accéder aux services Google, tels que YouTube, dont les fonctionnalités permettent aux utilisateurs de partager des informations avec d'autres personnes ou publiquement. Par exemple, si vous laissez un avis sur Google Play, votre nom et votre photo apparaissent à côté de votre activité. Si vous partagez une photo avec un ami qui en fait une copie ou la partage à nouveau, cette photo peut continuer à apparaître dans le compte Google de votre ami, même si vous la supprimez de votre compte Google. N'oubliez pas que lorsque vous partagez des informations publiquement, votre contenu peut devenir accessible via les moteurs de recherche, y compris Google Search. Pour plus d'informations sur la manière dont les données de l'Espace de travail pour l'éducation sont partagées, veuillez consulter l'avis de confidentialité de l'Espace de travail pour l'éducation".
Services de base (14 services : Classroom, Drive/Docs, G-mail, Chat, Chrome Sync, Groupes, Meet, Vault, Playlist, Jamboard, Agenda, Keep (stickynotes), Tasks, Sites)
Les autres services fournis par Google sont soumis à des conditions différentes dans l'accord de traitement des données, ce qui signifie que la municipalité ne peut pas donner d'instructions à Google sur la manière dont les données personnelles peuvent être utilisées. Par conséquent, la municipalité a désactivé l'utilisation des services auxiliaires.
Conclusion
Sur la base des mesures mises en œuvre ci-dessus, la municipalité d'Elseneur estime que la probabilité que le risque devienne réalité est faible. Toutefois, il ne peut être totalement exclu que Google ne respecte pas ses obligations contractuelles et utilise les données personnelles à des fins de marketing ou à d'autres fins non prévues pour lesquelles la municipalité d'Helsingør n'a pas donné d'instructions conformément à l'accord sur le traitement des données".
</blockquote><h3>Transfert de données à caractère personnel vers des pays tiers</h3>Un autre risque identifié par la municipalité de Helsingør dans l'évaluation des risques liés à l'utilisation des Chromebooks de Google et de Workspace for Education est le risque de transfert vers des pays tiers.
Ce risque est décrit comme suit :
<blockquote>"Il existe un risque que les données à caractère personnel des élèves et des enseignants (en principe des données à caractère personnel générales, mais on ne peut exclure que des données à caractère personnel sensibles soient également incluses) soient transférées vers des pays tiers non sûrs sans base adéquate pour le transfert et sans s'assurer que le pays tiers en question garantit des droits à la protection des données équivalents à ceux des autres pays de l'UE."
</blockquote>En ce qui concerne la probabilité que ce risque se concrétise, il est indiqué ce qui suit :
<blockquote>"La municipalité de Helsingør, en tant que responsable du traitement des données à caractère personnel des élèves, a mis en œuvre les mesures d'atténuation pertinentes suivantes afin de réduire la probabilité que le risque décrit se concrétise :
Les conditions générales de la Commission européenne ont été conclues (base de transfert), étant donné qu'il existe un risque d'accès à partir des États-Unis par le biais d'une assistance. Une analyse d'impact du transfert (AIT) distincte a été préparée en tant que base supplémentaire (mesures complémentaires) conformément aux exigences de l'Autorité de protection des données et de l'EDPB. Il est fait référence à l'EIT préparée.
Il convient également de noter que la municipalité de Helsingør a opté pour une solution dans laquelle, comme point de départ clair, les données sont localisées exclusivement au sein de l'UE dans les centres de données concernés. Ainsi, seul le risque d'un accès de soutien à partir d'un pays tiers non sécurisé peut conduire à un accès à partir d'un pays tiers non sécurisé :
"Les paramètres des régions de données dans Google Workspace for Education Standard garantissent que le centre de données est situé au sein de l'UE - et en outre : y aura-t-il un accès en ligne à partir de pays en dehors de l'UE, par exemple dans le cadre de l'assistance ?
Conclusion
Sur la base des mesures mises en œuvre ci-dessus, la municipalité d'Elseneur considère que la probabilité que le risque devienne réalité est faible".
</blockquote>En outre, la municipalité d'Helsingør a présenté ses preuves de conformité avec le chapitre V du règlement sur la protection des données lors de l'utilisation de Google Workspace for Education sous la forme d'une "évaluation de l'impact du transfert" (ci-après dénommée "EIT").
Il en ressort que la municipalité d'Helsingør utilise Google Cloud EMEA Limited en tant que responsable du traitement des données dans le cadre de son utilisation des Chromebooks et de l'Espace de travail pour l'éducation de Google. En particulier, la municipalité s'est assurée, par le biais des paramètres de Google Workspace for Education, que les données à caractère personnel ne sont stockées que dans des centres de données situés dans l'UE/EEE.
Toutefois, il apparaît que, nonobstant les paramètres susmentionnés, des données à caractère personnel peuvent être transférées à Google LLC aux États-Unis dans le cadre d'un accès à distance à des fins d'assistance. Le transfert est effectué sur la base du contrat type de la Commission européenne.
Enfin, le point 1.8 relatif au contexte et à la finalité du transfert de données à caractère personnel indique ce qui suit :
<blockquote>Dans le cadre de la solution "cloud" de Google, la commune de Helsingør utilise :
Google Chromebooks et G Suite for Education (désormais appelé Workspace), qui sont utilisés par la Helsingør Kommune à des fins d'éducation des élèves dans le cadre de l'obligation de droit public de la Helsingør Kommune en tant qu'autorité publique locale de fournir des services d'éducation. Helsingør Kommune estime que cette obligation est mieux gérée avec Google en tant que fournisseur des services susmentionnés et Datatilsynet a accepté cette prémisse conformément à la loi applicable dans le Folkeskoleloven.
Pour que la Helsingør Kommune puisse utiliser les services et produits offerts par Google, il est nécessaire que la Helsingør Kommune transfère les données personnelles relatives aux personnes concernées mentionnées dans les sections 1.9-1.10 ci-dessous vers le nuage de Google. L'objectif du transfert est donc de stocker les données personnelles dans les centres de données (cloud), d'assurer une sécurité élevée des données personnelles ainsi qu'une gestion/assistance de la part de Google.
Dans l'accord de transfert de données, la municipalité d'Helsingør a - pour autant que le CEPD le comprenne - évalué si la base du transfert vers les États-Unis sous la forme du contrat type est efficace à la lumière des circonstances du transfert, y compris en évaluant s'il existe des lois et/ou des pratiques aux États-Unis qui affectent l'efficacité du contrat type conclu.
</blockquote>En conséquence, le paragraphe 2.4 de la DRM stipule ce qui suit :
<blockquote>"Sur la base de statistiques et d'autres arguments de l'importateur/destinataire de données, combien d'années, en plus de la période d'évaluation, faudra-t-il avant que la probabilité d'accès par une autorité publique (qui est légale dans le pays tiers) ne soit encore que de 50:50 ?
Sur la base des statistiques et des arguments suivants, Helsingør Kommunes estime que même si 50 années supplémentaires étaient ajoutées à la période d'évaluation de 5 ans, la probabilité d'un accès par une autorité publique américaine (qui est légal aux États-Unis) qui viole le droit de l'UE, comme indiqué dans l'arrêt Schrems II, n'est toujours que de 50 % au cours de cette période de 55 ans et, par conséquent, le risque d'un accès légal au cours de la période d'évaluation de 5 ans est de nature plus théorique que pratique :
<ul><li>A) Google examinera soigneusement chaque demande pour s'assurer qu'elle est conforme aux lois applicables. Si une demande requiert trop d'informations, Google essaiera de la restreindre et, dans certains cas, Google s'opposera à la production de toute information. Google communiquera le nombre et le type de demandes reçues dans le rapport de transparence.</li><li>B) Lorsque Google reçoit une demande d'une agence gouvernementale, il envoie un e-mail au compte de l'utilisateur avant de divulguer des informations. Si le compte est géré par une organisation, Google en informera l'administrateur du compte. Si la loi interdit à Google d'envoyer une notification, elle ne le fera pas. Dans ce cas, Google informera l'utilisateur une fois l'interdiction légale levée, par exemple à l'expiration d'une période de silence prévue par la loi ou ordonnée par un tribunal.</li><li>C) Lorsqu'une entité de Google au sein de l'UE, comme c'est le cas en l'espèce, reçoit des demandes de divulgation de données de la part des autorités gouvernementales américaines, Google ne fournira des données personnelles que si cela est compatible avec l'ensemble des éléments suivants : (i) la législation nationale de l'État membre d'établissement, y compris toute législation européenne applicable telle que le GDPR. Par conséquent, Google exigera des autorités américaines qu'elles respectent les mêmes procédures et exigences légales que celles qui s'appliqueraient si la demande était adressée à un fournisseur local d'un service similaire. (ii) Les normes internationales, ce qui signifie que Google ne fournira des données personnelles qu'en réponse à des demandes qui satisfont aux principes de la Global Network Initiative sur la liberté d'expression et la protection de la vie privée et aux directives de mise en œuvre associées dans les politiques de Google. Cela inclut les conditions d'utilisation et les règles de confidentialité applicables, ainsi que les règles relatives à la protection de la liberté d'expression.</li><li>D) En ce qui concerne les demandes d'informations en cas d'urgence, par exemple si Google pense raisonnablement que la divulgation peut empêcher quelqu'un de mourir ou de subir un préjudice physique grave, Google peut fournir des informations à une agence gouvernementale. Cela concerne les alertes à la bombe, les fusillades dans les écoles, les enlèvements, la prévention des suicides et les cas de personnes disparues. Google examinera toujours ces demandes à la lumière des lois applicables et de nos règles.</li><li>F) Statistiques</li></ul>Demandes d'accès à Google GCP/G-Suite / divulguées Danemark 2019-2020 : 0 / 0
Demandes d'accès à Google Workspace / divulguées Danemark 2019-2020 : 1 / 0
Demandes juridiques de Google Global Diplomatic : 1
Google Global User data requests / pourcentage disclosed Danemark 2019-2020 :
30 juin 2019 Urgence 2 / 50%. Autres demandes juridiques 29 / 52%. Préservation 8 / 45%. 31 décembre 2019 Urgence 3 / 0%. Autres dispositions légales 48 / 38%. Préservation 12 / 41%.
30 juin 2020 Urgence 5 / 100%
Autres dispositions légales 80 / 58%. Préservation 34 / 63%. 31 décembre 2020 Urgence 1 / 100%. Autres dispositions légales 87 / 75 %. Préservation 32 / 41%
Google National Security Letter requests (NSL) and released 2019/2020 total number all countries : 21
Conclusion
Sur la base de cette approche juridique et de ces statistiques, il est clair que :
<ul><li>Il est statistiquement improbable que la commune d'Helsingør soit la cible d'une demande concernant l'utilisation de GCP et de G-Suite (désormais appelé Workspace).</li><li>Pour les autres services, le risque est minime compte tenu du nombre de demandes/divulgations et du nombre total d'utilisateurs des services fournis par Google au Danemark.</li><li>Le nombre de demandes de NSL est si faible qu'il est statistiquement sans importance.</li><li>Si des données personnelles font l'objet d'une demande, Google procédera à une évaluation honnête de la légalité sur la base de la législation européenne. Cela est confirmé par les statistiques relatives aux divulgations effectives".</li></ul></blockquote>La DRM indique en outre au para. 3.4 que les données personnelles transférées à Google LLC aux États-Unis seront accessibles à Google LLC en texte clair :
<blockquote>"Les données à caractère personnel en question sont-elles accessibles en clair dans la juridiction cible par l'importateur/le destinataire des données ou par un tiers (c'est-à-dire que les données ne sont pas convenablement cryptées ou qu'il est possible d'accéder aux clés de décryptage) ?
Les données personnelles de la Helsingør Kommune sont toujours cryptées lorsqu'elles sont au repos, car Google utilise plusieurs couches de cryptage pour protéger les données des clients au repos dans les produits Google Cloud, en utilisant un ou plusieurs mécanismes de cryptage. Les données à stocker sont divisées en morceaux et chaque morceau est crypté à l'aide d'une clé de cryptage des données unique. Ces clés de cryptage des données sont stockées avec les données, cryptées avec ("enveloppées" par) des clés de cryptage qui sont exclusivement stockées et utilisées au sein du service central de gestion des clés de Google. Le service de gestion des clés de Google est redondant et réparti dans le monde entier.
Toutes les données stockées dans Google Cloud sont cryptées au niveau du stockage à l'aide d'AES256. À cet égard, Google utilise une bibliothèque cryptographique commune, Tink, qui intègre le module validé par la norme FIPS 140-2, BoringCrypto, pour mettre en œuvre le chiffrement de manière cohérente dans la quasi-totalité des produits Google Cloud. L'utilisation cohérente d'une bibliothèque commune signifie que seule une petite équipe de cryptographes doit mettre en œuvre et maintenir ce code étroitement contrôlé et révisé.
Toutefois, ce cryptage n'empêche pas le personnel de Google d'accéder aux données personnelles de Helsingør Kommune, car Google possède la clé permettant de décrypter les données. Google LLC aux États-Unis n'est en revanche pas en possession de la clé de décryptage. Cela signifie que Google aux États-Unis ou d'autres entités de Google en dehors de l'UE/EEE ou des tiers ne peuvent pas accéder aux données personnelles de Helsingør Kommune sans l'autorisation de l'entité de Google établie dans l'UE (Google Ireland).
Bien que le cryptage - et la pseudonymisation, qui est également utilisée par Google - ne garantisse pas que Helsingør Kommune ait un contrôle total de l'accès aux données personnelles dans le centre de données de l'UE, il sert de facteur atténuant pour répondre aux obligations réglementaires ou de conformité, c'est-à-dire conformément aux lignes directrices de l'EDPB".
</blockquote>En outre, la DRM indique au para. 3.5 concernant la base de transfert établie :
<blockquote>" Comme indiqué ci-dessus dans la section 1.7, il découle de l'Amendement au traitement des données de Google Workspace et/ou de l'Accord de produit complémentaire modifié le 24 septembre 2021 que le CCN 2021 sera la base juridique pour les transferts (y compris l'accès en ligne dans le cadre de l'assistance en ligne) vers des pays en dehors de l'UE/EEE sans décision d'adéquation. Dans ce contexte, Google est contractuellement tenu, en tant que sous-traitant, de respecter les obligations qui lui incombent en vertu de la législation européenne sur la protection des données en ce qui concerne le traitement des données personnelles de Helsingør Kommune.
Helsingør Kommune n'a aucune raison de croire qu'une entité de Google ne respectera pas la CSC.
En outre, Helsingør Kommune évaluera et contrôlera en permanence le respect par Google de la CSC 2021 en examinant, par exemple, les rapports d'audit et les certifications standard mises à disposition. Helsingør Kommune a également le droit d'effectuer un audit spécial par une tierce partie si cela est jugé nécessaire, cf. le DPA".
</blockquote>Enfin, la TIA déclare au para. 4.1.1 en ce qui concerne la législation et/ou la pratique aux États-Unis affectant l'efficacité du contrat type conclu :
<blockquote>"L'importateur/le destinataire des données n'est pas soumis à un intérêt supérieur de la part d'une autorité publique étrangère pour demander l'accès aux données à caractère personnel (c'est-à-dire que l'importateur de données ou le destinataire potentiel n'est pas soumis à une loi nationale facilitant la surveillance de masse).
Section 702 de la FISA
L'entité américaine Google LLC peut en pratique être considérée comme la société mère des entités de l'UE fournissant les services à la commune d'Helsingør. Google LLC. peut être considéré comme un fournisseur de services de communications électroniques au sens de la section 702 de la loi FISA pour ses clients américains, au sens large du terme : "tout autre fournisseur de services de communication qui a accès à des communications électroniques ou par fil, soit lorsque ces communications sont transmises, soit lorsqu'elles sont stockées".
Toutefois, il est fort probable que les données accessibles à Google LLC soient en soi exclues de l'accès au titre de la section 702 de la loi FISA, car il s'agit de données qui ne sont pas transmises par l'entreprise, mais qui lui sont destinées dans le cadre de la fourniture d'un service d'assistance. Il s'agit donc d'une communication destinée à une "personne américaine" pour laquelle les recherches de renseignements sont interdites (voir Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21 décembre 2020, disponible à l'adresse https://bit.ly/3qHNMy7 et un article complet du même auteur à l'adresse https://bit.ly/2V9veez avec le post de suivi "Transferring EU Data To US After New Contractual Safeguards" du 17 mai 2021, disponible à l'adresse https://bit.ly/3l12oHZ). En outre, les données à caractère personnel de la Helsingør Kommune ne comprennent pas de données à caractère personnel concernant des "U.S. Persons" et les autorités américaines ne peuvent donc pas accéder aux données en vertu de la section 702 de la FISA pour cette raison également.
Il est donc probable que les données à caractère personnel de Helsingør Kommune qui se trouvent dans les centres de données de l'UE ne seront pas soumises à la section 702 de la FISA.
Nous comprenons que cet argument peut ne pas être partagé par tout le monde et que des demandes peuvent néanmoins avoir lieu en relation avec Google, c'est pourquoi nous évaluons la probabilité de validité de cet argument de manière très conservatrice pour être sûrs.
DÉCRET 12.333
L'Executive Order 12.333 (EO 12.333) autorise les agences de renseignement américaines à collecter des informations étrangères de type "signals intelligence", c'est-à-dire des informations collectées à partir de communications et d'autres données transmises ou accessibles par radio, fil et autres moyens électromagnétiques (c'est-à-dire toutes les données provenant des infrastructures de télécommunication et informatiques). Le décret 12.333 autorise donc la "surveillance en transit", comme l'accès à des données qui ne sont pas correctement cryptées lorsqu'elles transitent par des câbles transatlantiques. Comme indiqué au point 3.3. ci-dessus, toutes les données à caractère personnel seront transmises au moyen d'un cryptage solide et obligatoire pendant le transit. Nous estimons donc que la mesure technique requise par le biais du cryptage signifie que l'OT 12.333 n'entraînera pas un risque plus élevé pour les autorités américaines en matière de surveillance de masse".
</blockquote>Il apparaît ci-dessous que la municipalité de Helsingør a évalué à 40 % la probabilité que l'évaluation ci-dessus soit exacte.
Sur la base de la lettre de la municipalité d'Helsingør datée du 10 novembre 2021 et de ses annexes, l'autorité de protection des données a demandé des informations complémentaires à la municipalité le 2 décembre 2021. L'autorité de protection des données a déclaré que tout transfert de données à caractère personnel vers les États-Unis dans le cadre d'un soutien était - de l'avis de l'autorité de protection des données - intentionnel, bien que la municipalité ait évalué cela comme un risque de soutien en provenance des États-Unis.
L'autorité de protection des données a demandé, entre autres, une copie de la base de transfert de la commune, toute modification de l'accord d'instruction et de traitement des données avec Google, ainsi qu'un examen des mesures supplémentaires que la commune a pu juger nécessaires.
Par lettre datée du 9 décembre 2021, la municipalité d'Helsingør a déclaré ce qui suit pour clarifier le risque susmentionné :
<blockquote>"Le transfert possible à Google - et le risque associé - est lié à la configuration de Google. En d'autres termes, même si la municipalité a choisi un nuage de l'UE, Google a garanti dans l'accord sur le traitement des données le droit d'obtenir un soutien potentiel de la part de pays tiers. C'est également la raison pour laquelle Google a établi une base de transfert dans le cadre du nouveau CSC (à partir de juin 2021), que la municipalité utilise dans son évaluation des risques.
En général, en ce qui concerne le risque de soutien en particulier, les faits suivants peuvent être pris en compte : dans des situations très spécifiques de soutien de la part d'un pays tiers non sécurisé, il y aura une fenêtre très limitée dans laquelle le soutien peut potentiellement accéder aux données à caractère personnel en texte clair. Il est très peu probable que, dans cette fenêtre limitée, le supporter soit obligé par le gouvernement [du pays tiers peu sûr] de fournir les données personnelles.
La municipalité note en outre que l'accord de transfert de technologie préparé indique que la municipalité a évalué que l'utilisation de Google Workspace for Education est nécessaire à l'accomplissement des tâches de la municipalité en vertu de la loi sur l'éducation, que l'option du soutien d'un pays tiers ne peut être écartée lorsque Google est le responsable du traitement des données, et que la municipalité a donc évalué le risque lié à l'utilisation de Google.
La base de transfert est, comme indiqué, le nouveau CCN (à partir de juin 2021)".
</blockquote>En ce qui concerne les sources de données utilisées, la municipalité d'Helsingør a fourni les informations suivantes :
<blockquote>"Il existe différentes "sources de données" en ce qui concerne l'évaluation des risques et l'évaluation des incidences sur le climat. L'évaluation des risques est basée sur le fait que l'accord de traitement des données décrit plus en détail la relation entre les parties, c'est-à-dire que Google est le responsable du traitement des données pour la municipalité et que Google se réserve le droit de fournir une assistance à partir de pays tiers, et que la municipalité s'est assurée que le service est fourni à partir d'un nuage de l'UE.
La DRM est basée sur les documents et les liens fournis dans le sous-onglet de la DRM".
</blockquote>En outre, la municipalité d'Helsingør a fourni les informations suivantes concernant ses évaluations telles qu'elles sont présentées dans la DRM :
"Les évaluations dans la DRM de la probabilité que chaque argument juridique soit retenu sont des estimations. cet égard, la municipalité considère que les probabilités fixées sont prudentes, c'est-à-dire qu'elle a admis des doutes dans l'intérêt des droits et libertés des personnes concernées. Si le CEPD a une évaluation différente et motivée de la probabilité que les arguments individuels tiennent, la municipalité sera heureuse de l'entendre. Il convient également de noter, pour le bon ordre des choses, que le risque global calculé - sur la base notamment de ces arguments, des circonstances du transfert éventuel, des statistiques publiées par Google, des pratiques et des mesures d'atténuation - est assez faible. La municipalité s'engage également à contrôler et à évaluer en permanence la probabilité de la validité de ces arguments.
La légalité de l'utilisation de Google Workspace for Education dans ces circonstances ne dépend donc pas de l'évaluation de la probabilité de la validité d'un seul argument qui n'est pas motivé par des arguments raisonnés".
Enfin, la municipalité d'Elseneur a soumis un grand nombre de documents concernant l'accord de traitement des données avec Google Cloud EMEA Limited, y compris l'accord de traitement des données "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" daté du 24 septembre 2021.
<h2>Justification de la décision du Contrôleur de la protection des données</h2>D'une manière générale, le CEPD est d'avis qu'un responsable du traitement faisant appel à un sous-traitant - pour toutes les opérations de traitement - doit se conformer au GDPR et à la loi sur la protection des données et être en mesure de démontrer qu'il s'y conforme, quel que soit l'endroit de la chaîne de traitement des données où le traitement a lieu.
Cela découle de l'article 5, paragraphe 2, du GDPR, qui stipule que le responsable du traitement est responsable du respect du paragraphe 1 et doit être en mesure de le démontrer. Cela signifie, entre autres, que le responsable du traitement est chargé de démontrer que les données à caractère personnel sont traitées de manière licite, loyale et transparente, conformément à l'article 5, paragraphe 1, point a), et qu'il doit être en mesure de le faire.
En outre, l'article 24, paragraphe 1, du règlement exige que le responsable du traitement mette en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est conforme au présent règlement. Ces mesures doivent être prises en tenant compte de la nature, de la portée, du contexte et des finalités du traitement concerné, ainsi que des risques, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, et elles doivent être réexaminées et mises à jour en tant que de besoin.
Par cette décision, l'autorité de protection des données s'est uniquement prononcée sur la question de savoir si - et dans quelle mesure - la municipalité d'Helsingør, en tant que responsable du traitement, traite les données à caractère personnel conformément aux règles de protection des données. La compétence de l'autorité de protection des données découle de l'article 27 de la loi sur la protection des données et des chapitres VI et VII du règlement sur la protection des données, y compris son article 55, paragraphe 2.
<h3>Utilisation de Google Chromebooks et de Google Workspace for Education</h3>L'article 2, paragraphe 1, de la loi sur l'éducation dispose que l'autorité locale est responsable de l'éducation des enfants.
Pour les écoles primaires, il ressort de l'article 18, paragraphe 1, et de l'article 19 de la loi que l'organisation de l'enseignement, y compris le choix des méthodes d'enseignement et de travail, du matériel pédagogique et de la sélection des matières, ainsi que la rémunération y afférente, dans toutes les matières, doit être conforme aux buts, objectifs et matières de l'école primaire et varier de manière à correspondre aux besoins et aux conditions préalables de chaque élève.
Le CEPD est d'avis que le choix de l'utilisation de l'informatique dans l'enseignement, y compris la marque et le logiciel à utiliser, relève de cette marge.
Le CEPD note à cet égard que les règles de protection des données sont neutres sur le plan technologique et qu'il ne peut qu'évaluer les circonstances dans lesquelles les données à caractère personnel sont traitées, conformément à l'article 2, paragraphe 1, du GDPR.
Bien que la loi sur les écoles publiques - de l'avis du CEPD - confère au conseil municipal la compétence de décider si - et le cas échéant - quel équipement informatique doit être utilisé dans l'enseignement, cette utilisation doit continuer à se faire dans le cadre du GDPR et de la loi sur la protection des données.
Les droits des enfants et des jeunes bénéficient d'une protection spéciale en vertu des règles de protection des données. Le CEPD est d'avis que cette considération est incluse dans l'évaluation des traitements qui peuvent être effectués sur la base juridique fournie par la loi sur les écoles publiques à chaque municipalité.
Comme indiqué dans la décision du 10 septembre 2021 de l'Inspection de la protection des données, l'Inspection est d'avis que la municipalité d'Helsingør peut déterminer quels outils sont utilisés dans les écoles primaires de la municipalité, conformément à l'article 6, paragraphe 1, point e), du règlement relatif à la protection des données.
Toutefois, le respect du règlement et de la loi sur la protection des données dans le cadre du traitement des données à caractère personnel reste une condition essentielle.
<h3>Risques et conséquences</h3>D'une manière générale, le CEPD estime que l'évaluation des risques de la municipalité d'Helsingør concernant l'utilisation des Google Chromebooks et de l'espace de travail pour l'éducation tient compte des principaux scénarios et menaces.
Toutefois, le CEPD estime que l'utilisation de technologies nouvelles et complexes, y compris de logiciels - en particulier dans le domaine de l'éducation, où les personnes concernées sont des enfants et des jeunes - comporte généralement un risque élevé pour les droits et libertés de ces élèves.
Dans le cas précis, il est notoire que les technologies utilisées pour la fourniture et le soutien du système du service choisi - Google Chromebooks et Workspace for Education - sont également utilisées pour fournir d'autres parties des produits de Google, et que celles-ci sont utilisées pour la collecte d'informations, le marketing ciblé et la vente de ces informations. Ces éléments doivent donc être pris en compte lors de l'évaluation des risques pour les droits et libertés des personnes concernées lors de l'utilisation de Google Workspace for Education.
Le CEPD estime que l'évaluation des risques de la municipalité d'Helsingør ne documente pas complètement les scénarios de risque qui peuvent résulter de la conception du processeur de données et des choix de système effectués. Cela vaut en particulier pour (i) la manière dont les appareils et les applications utilisés traitent effectivement les données à caractère personnel collectées, ainsi que (ii) la manière dont la municipalité d'Helsingør contrôle l'accès de Google aux données à caractère personnel, y compris en particulier l'utilisation ordinaire du système d'exploitation des Chromebooks de Google et l'interaction de Google Workspace avec le backend de Google en ce qui concerne les possibilités de séparation des données à caractère personnel qui doivent avoir lieu en vertu de la loi sur les responsables du traitement des données.
Le CEPD est d'avis que la réalisation d'une évaluation concrète des risques et d'une analyse d'impact - avant de fournir des équipements informatiques aux élèves et de traiter leurs données - est une condition préalable à l'établissement et au maintien d'un niveau de sécurité adéquat. En effet, un niveau de sécurité adéquat doit être considéré à la lumière des risques, y compris les conséquences, que le traitement des données à caractère personnel des élèves peut avoir pour eux. Le CEPD note que plusieurs des manquements susmentionnés aux règles de protection des données auraient pu être évités si la municipalité d'Helsingør avait évalué les risques du traitement et pris des mesures appropriées à la lumière de ces risques.
Dans ce contexte, le CEPD estime que la municipalité d'Helsingør - (i) en n'incluant pas dans son évaluation des risques les scénarios de risque pouvant résulter de la conception du processeur de données et des choix de système effectués, (ii) en n'ayant pas suffisamment testé la portée et le fonctionnement du matériel et des logiciels utilisés, et (iii) en n'étant pas en mesure de documenter la manière dont la municipalité contrôle l'accès de Google aux données à caractère personnel, notamment par l'utilisation ordinaire du système d'exploitation Google Chromebooks et l'interaction de Google Workspace avec le backend de Google en ce qui concerne les possibilités de séparation des données à caractère personnel qui peuvent se produire en vertu de la directive sur le traitement des données, - n'a pas démontré que les données à caractère personnel sont traitées de manière licite, loyale et transparente à l'égard de la personne concernée en vertu de la directive sur le traitement des données. Article 5, paragraphe 2, de la loi sur la protection des données, voir article 5, paragraphe 1, point a).
<h3>Utilisation des données à d'autres fins</h3>L'autorité chargée de la protection des données est d'avis que le traitement de données à caractère personnel par la municipalité de Helsingør en vertu de la loi sur l'école primaire, cf. article 6, paragraphe 1, point e), du règlement, n'inclut pas les situations dans lesquelles les données à caractère personnel sont traitées à des fins autres que celles prévues par la loi sur l'école primaire. Les données ne peuvent donc pas être légalement communiquées à d'autres responsables du traitement pour leurs propres finalités, lorsque celles-ci ne sont pas prévues par la loi sur l'éducation. Cela comprend également le traitement des données à caractère personnel qui peuvent résulter de l'utilisation de l'équipement et du logiciel par les élèves, y compris les métadonnées utilisées à des fins de marketing et de profilage, que les données soient utilisées pour le marketing direct auprès de l'élève individuel ou indirectement dans le cadre d'un groupe (classe, année, école, etc.).
Le CEPD considère que la municipalité de Helsingør n'utilise pas les produits additionnels de Google Workspace for Education.
Il ressort de l'évaluation des risques de la municipalité de Helsingør que les données à caractère personnel collectées dans le cadre des services de base - conformément à l'accord conclu avec le responsable du traitement des données - ne sont pas utilisées à des fins de prospection commerciale.
L'autorité de protection des données considère que la municipalité de Helsingør, en tant que responsable du traitement des données, a évalué qu'"il ne peut être totalement exclu que Google viole les obligations contractuelles et utilise néanmoins les données à caractère personnel à des fins de marketing ou à d'autres fins non prévues pour lesquelles la municipalité de Helsingør n'a pas donné d'instructions conformément à l'accord sur le traitement des données".
Le CEPD considère également que la municipalité de Helsingør traite également des catégories particulières de données à caractère personnel, telles que visées à l'article 9 du règlement, lors de l'utilisation de Google Workspace for Education.
Dans ce contexte, le CEPD souhaite souligner de manière générale que, conformément à l'article 28, paragraphe 1, du règlement, un responsable du traitement ne peut faire appel qu'à des sous-traitants qui peuvent fournir les garanties nécessaires quant au respect des règles de protection des données lorsqu'ils traitent les données pour le compte du responsable du traitement.
Cela signifie que si le responsable du traitement s'attend à ce que le sous-traitant choisi agisse en violation de l'accord conclu avec le sous-traitant, le responsable du traitement ne peut pas faire appel à ce sous-traitant, conformément à l'article 28, paragraphe 1, du règlement.
Toutefois, le CEPD a pris pour base le fait que, dans l'évaluation de ce risque, la municipalité d'Helsingør ne considère le risque que le sous-traitant agisse en violation de l'accord sur le traitement des données que comme hypothétique et non comme tout à fait prévisible.
Le CEPD estime que la municipalité d'Helsingør - dans son évaluation de ce risque - n'a pas démontré que, dans cette situation, la municipalité d'Helsingør utilise un sous-traitant de données qui peut fournir les garanties nécessaires qu'il se conformera aux exigences du GDPR, comme indiqué à l'article 24 du règlement, cf. l'article 28, paragraphe 1.
Le CEPD a accordé une attention particulière au fait que les personnes concernées perdraient leurs droits si le risque en question se concrétisait et que la municipalité n'a pas indiqué dans son évaluation des risques de réelles mesures correctives techniques ou organisationnelles pour atténuer ce risque. En particulier, le CEPD est d'avis que la référence faite par la municipalité d'Helsingør au fait que la municipalité a confiance dans le respect général du contrat par le fournisseur ne constitue pas une atténuation suffisante de ce risque.
En outre, le CEPD note que tout risque ayant un impact élevé sur les droits et libertés des personnes concernées - même avec une probabilité relativement faible de réalisation du risque - est susceptible d'entraîner un risque élevé pour les droits des personnes concernées, déclenchant l'obligation d'effectuer une analyse d'impact relative à la protection des données en vertu de l'article 35, paragraphe 1, du règlement.
Compte tenu de ce qui précède - et de l'évaluation de la municipalité d'Helsingør selon laquelle il ne peut être exclu que le sous-traitant agisse en violation du contrat de sous-traitance - le CEPD est d'avis que la relation déclenche l'obligation de procéder à une analyse d'impact relative à la protection des données, conformément à l'article 35, paragraphe 1, du règlement.
Dans ce contexte - et étant donné que la municipalité d'Helsingør a déclaré qu'elle n'avait pas effectué d'analyse d'impact relative à la protection des données - le CEPD considère que le traitement des données à caractère personnel par la municipalité d'Helsingør n'a pas été effectué conformément à l'article 35, paragraphe 1, du règlement.
<h3>Transferts de données à caractère personnel vers des pays tiers</h3><h3>Transfert de données à caractère personnel par l'infrastructure en nuage</h3>Le CEPD a tout d'abord noté que la municipalité d'Elseneur est d'avis qu'elle a configuré son utilisation de Google Workspace for Education de telle sorte que "les données sont, comme point de départ évident, uniquement localisées au sein de l'UE dans les centres de données concernés. Ce n'est donc que le risque de soutenir l'accès à partir d'un pays tiers non sécurisé qui peut conduire à l'accès à partir d'un pays tiers non sécurisé".
Le cadre contractuel entre la municipalité d'Helsingør et Google, qui régit l'activité de traitement, comprend le "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" (Addendum au contrat), daté du 24 septembre 2021.
L'avenant stipule, entre autres, ce qui suit :
<blockquote>"10.1 Stockage des données et installations de traitement. Sous réserve des engagements de Google en matière de localisation des données en vertu des Conditions spécifiques du service et du reste du présent article 10 (Transferts de données), les Données du Client peuvent être traitées dans tout pays dans lequel Google ou ses Sous-Traitants disposent d'installations. [...]
<ol start="11"><li>Sous-traitants</li></ol>11.1 Consentement à l'engagement de Sous-Traitants. Le Client autorise spécifiquement l'engagement en tant que Sous-Traitants des entités listées à la Date d'Entrée en Vigueur de l'Amendement à l'URL spécifiée dans la Section 11.2 (Informations sur les Sous-Traitants). En outre, sans préjudice de l'article 11.4 (Possibilité de s'opposer aux changements de sous-traitants), le client autorise de manière générale l'engagement en tant que sous-traitants de tout autre tiers ("nouveaux sous-traitants").
11.2 Informations sur les sous-traitants. Les informations relatives aux Sous-traitants, y compris leurs fonctions et leur localisation, sont disponibles à l'adresse suivante : https://workspace.google.com/intl/en/terms/subprocessors.html (telles qu'elles peuvent être mises à jour par Google de temps à autre conformément au présent Amendement relatif au traitement des données)."
</blockquote>L'article 11.2 de l'Accord fait référence à une liste de Sous-traitants utilisés dans le but de fournir l'Espace de travail Google pour l'éducation. La liste comprend un large éventail de sous-traitants secondaires utilisés pour fournir une assistance technique, situés à la fois dans l'UE et dans des pays tiers, y compris des pays tiers dans lesquels la Commission européenne n'a pas pris de décision sur le niveau de protection des pays conformément à l'article 45.
La liste comprend également un grand nombre de filiales de Google utilisées pour des activités limitées telles que Google Workspace, qui sont également situées à l'intérieur et à l'extérieur de l'UE/EEE.
Dans la présente décision, l'autorité de protection des données n'a pas pris position sur la question de savoir dans quelle mesure la municipalité d'Helsingør, en utilisant Google Workspace pour l'éducation - en plus des États-Unis, voir plus loin au point 4.6 - transfère des données à caractère personnel vers d'autres pays tiers, même si les données sont "stockées" au sein de l'UE/EEE.
Toutefois, le CEPD recommande à la municipalité d'Elseneur de s'assurer - notamment en examinant les "Conditions spécifiques de service" de Google Workspace visées au paragraphe 10.1 de l'avenant à l'accord - que les données, dans le cadre d'un traitement autre que le "stockage", par exemple dans le cadre du service général et de l'assistance de l'infrastructure en nuage sous-jacente, etc. ne sont pas transférées vers des pays tiers, à moins que la municipalité d'Elseneur n'en donne l'instruction au sous-traitant et ne fournisse une base valable pour le transfert.
L'autorité de protection des données estime que le responsable du traitement doit fournir une base valable pour le transfert à tous les pays tiers vers lesquels des données à caractère personnel peuvent être transférées dans le cadre de la fourniture d'un service en vertu de la base contractuelle, y compris le service et l'assistance.
<h3>Transfert de données à caractère personnel vers les Etats-Unis</h3>Tout d'abord, le CEPD note que - selon lui - il y a un transfert intentionnel et instruit vers les États-Unis pour la municipalité d'Helsingør en raison de la possibilité convenue de fournir une assistance - aux États-Unis ou à partir des États-Unis - avec un accès aux données à caractère personnel.
Les règles relatives aux transferts vers des pays tiers, y compris les motifs possibles de transfert, sont énoncées au chapitre V du règlement sur la protection des données.
La règle principale pour les transferts de données à caractère personnel vers des pays tiers est énoncée dans le principe général de l'article 44 du GDPR. Celui-ci stipule que :
<blockquote>"Tout transfert de données à caractère personnel faisant l'objet d'un traitement ou destinées à être traitées à la suite d'un transfert vers un pays tiers ou une organisation internationale ne peut avoir lieu que si les conditions énoncées au [chapitre V] sont remplies, sans préjudice des autres dispositions du présent règlement, par le responsable du traitement et le sous-traitant, y compris par transfert ultérieur de données à caractère personnel de ce pays tiers ou de cette organisation internationale vers un autre pays tiers ou une autre organisation internationale. Toutes les dispositions du présent chapitre s'appliquent afin de garantir que le niveau de protection garanti aux personnes par le présent règlement n'est pas compromis".
</blockquote>Tout transfert de données à caractère personnel ne peut donc avoir lieu que si les conditions du chapitre V du règlement sont remplies.
Le CEPD considère que l'article 44 du règlement constitue une obligation tant pour le responsable du traitement que pour le sous-traitant. Les deux parties sont donc tenues de veiller à ce que le transfert repose sur une base effective, compte tenu de toutes les circonstances du transfert. Cela s'applique également aux cas où c'est le sous-traitant qui a conclu un contrat type au titre de l'article 46, paragraphe 2, point c), du règlement avec d'éventuels sous-traitants ultérieurs dans des pays tiers. Dans ce cas, l'obligation pour le responsable du traitement est en pratique de s'assurer - et d'être en mesure de démontrer au CEPD - que le sous-traitant a établi la base de transfert nécessaire et que cette base de transfert est efficace à la lumière de toutes les circonstances du transfert, y compris la mise en œuvre de mesures supplémentaires le cas échéant.
En outre, le CEPD est d'avis que, sans préjudice des exceptions prévues à l'article 49 du règlement, le libellé de l'article 44 selon lequel tout transfert de données à caractère personnel ne peut avoir lieu que si les conditions énoncées au chapitre V sont remplies, en liaison avec le principe selon lequel le niveau de protection assuré par le règlement ne doit pas être abaissé, doit être compris comme signifiant que tout transfert doit être soumis à des garanties appropriées. Ainsi, il ne suffit pas que la quasi-totalité des transferts ou un pourcentage des transferts bénéficient de la protection prévue par le règlement, à moins que cela ne soit prévu par le règlement.
L'un des moyens de fournir une base valable pour les transferts au titre du chapitre V est de conclure un contrat type adopté par la Commission européenne avec l'organisation du pays tiers vers laquelle les données sont transférées, comme le prévoit l'article 46, paragraphe 1, point c), du règlement.
En particulier, le dossier montre que la municipalité d'Helsingør a demandé à son sous-traitant - Google Cloud EMEA Limited en Irlande - de transférer des données à caractère personnel à un sous-traitant ultérieur - Google LLC - aux États-Unis. Le transfert s'effectue sur la base d'un contrat type de la Commission européenne entre Google Cloud EMEA Limited et Google LLC aux États-Unis. Ce contrat type a été utilisé comme base pour les transferts vers les États-Unis depuis la fin du mois de septembre 2021.
Dans l'affaire C-311/18, Schrems II, la Cour de justice de l'Union européenne a précisé que l'utilisation des contrats types de la Commission de l'UE présuppose que l'on puisse assurer un niveau de protection des données à caractère personnel dans le pays tiers concerné qui soit essentiellement équivalent au niveau de protection au sein de l'UE/EEE[1].
La CJUE a en outre noté qu'il peut exister des situations dans lesquelles le contrat type de la Commission européenne ne constitue pas "un moyen adéquat pour assurer en pratique la protection effective des données à caractère personnel transférées vers le pays tiers en question". C'est notamment le cas lorsque la législation de ce pays tiers permet à ses autorités publiques d'interférer avec les droits des personnes concernées par ces données"[2].
Dans de tels cas, lorsque le contrat type, de par sa nature, ne peut fournir des garanties allant au-delà de l'obligation contractuelle d'assurer le niveau de protection nécessaire, des mesures supplémentaires peuvent être nécessaires, en fonction des circonstances dans le pays tiers, pour assurer le niveau de protection nécessaire[3] Ces mesures supplémentaires peuvent être techniques, organisationnelles ou contractuelles[4].
Il est donc nécessaire d'examiner - au cas par cas - si la législation du pays tiers assure un niveau de protection adéquat des données à caractère personnel transférées sur la base du contrat type et, le cas échéant, de prendre des mesures supplémentaires en plus du contrat type[5].
La CJUE a également examiné si certains textes législatifs américains - la section 702 du Foreign Intelligence Surveillance Act (FISA) et l'Executive Order 12 333 (E.O. 12 333) - permettaient aux autorités publiques américaines d'interférer avec les droits des personnes concernées dans une mesure ne répondant pas aux exigences minimales du droit communautaire.
La section 702 de la FISA (FISA 702) autorise le gouvernement américain à obtenir des informations sur des personnes qui ne sont pas des citoyens américains, etc. ("personnes non américaines"), et dont on peut raisonnablement s'attendre à ce qu'elles se trouvent en dehors des États-Unis, dans le but de collecter des informations de renseignement étranger ("informations de renseignement étranger"). Pour ce faire, des directives sont données aux "fournisseurs de services de communications électroniques" afin qu'ils fournissent ou fassent fournir des informations personnelles envoyées à un "sélecteur" ou reçues de celui-ci, une partie de ces communications étant également divulguée aux autorités chargées de l'application de la loi[6].
En ce qui concerne l'E.O. 12333, cette base légale permet aux services répressifs d'accéder aux informations "en transit" vers les États-Unis en accédant aux câbles sous-marins, et de collecter et conserver ces informations avant qu'elles n'atteignent les États-Unis et n'y soient soumises aux dispositions de la FISA[7].
La CJUE a ensuite estimé que ni la section 702 de la FISA ni l'E.O. 12 333, lus conjointement avec la Presidential Policy Directive-28 (PPD-28), ne satisfont à l'exigence de proportionnalité du droit communautaire, de sorte que les programmes de surveillance fondés sur ces dispositions ne peuvent être considérés comme limités au strict nécessaire. La Cour a également estimé que la FISA 702 ou l'E.O. 12 333, lus conjointement avec la PPD-28, ne confèrent pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux[8].
En évaluant s'il existe des circonstances aux États-Unis qui empêchent le contrat type utilisé comme base de transfert d'être un moyen suffisant pour assurer un niveau de protection substantiellement équivalent à celui de l'UE/EEE, la municipalité d'Elseneur a déclaré qu'il est probable que Google LLC soit considéré comme un "fournisseur de services de communications électroniques" tel que ce terme est défini dans 50 U.S.C. § 1881(b)(4).
De même, la DPA estime que Google LLC - en fournissant le service (assistance, etc.) qui donne lieu au transfert de données personnelles - devrait être considéré comme un "fournisseur de services de communications électroniques" et pourrait donc être soumis à des directives d'application de la loi en vertu de la FISA 702.
En outre, la municipalité d'Helsingør a fait valoir qu'il est fort probable que les informations dont dispose Google LLC en tant que telles ne soient pas accessibles en vertu de la FISA 702, étant donné que les données à caractère personnel ne sont pas transférées par Google LLC, mais à Google LLC dans le but de lui fournir une assistance. En particulier, la municipalité d'Elseneur a fait valoir qu'il s'agit d'une communication électronique destinée à une "personne américaine" et que les autorités chargées de l'application de la loi ne peuvent donc pas obtenir ces informations à la lumière des restrictions prévues par la loi FISA 702. En outre, la municipalité soutient que les informations personnelles transférées à Google LLC ne constituent pas des informations personnelles de "personnes américaines" et que les autorités chargées de l'application de la loi ne peuvent pas non plus collecter ces informations en vertu de la loi FISA 702 pour cette raison.
Après avoir examiné les restrictions légales à la collecte d'informations en vertu de la FISA 702[9], le CEPD est d'avis que ces restrictions visent à empêcher la collecte - tant directe qu'indirecte - d'informations sur des personnes américaines, y compris des entreprises, lorsque ces personnes sont la cible de la collecte.
Ainsi, selon la FSA, les restrictions ne s'appliquent pas si et dans la mesure où des citoyens danois ou la municipalité d'Helsingør dans son ensemble font l'objet d'une collecte d'informations au titre de la FISA 702.
En outre, le DPA est d'avis que la FISA 702, de par son objectif, fournit une base juridique aux autorités répressives américaines pour obtenir des informations sur des personnes étrangères dont on peut raisonnablement penser qu'elles se trouvent en dehors des États-Unis, dans le but de collecter des informations sur les renseignements étrangers.
Dans ce contexte, le CEPD considère que les données à caractère personnel transférées à Google LLC pourraient être obtenues par les autorités répressives américaines. Ce faisant, le CEPD a mis l'accent sur le fait que Google LLC doit être considéré comme un "fournisseur de services de communications électroniques" et que les données à caractère personnel transférées à Google LLC concernent les élèves et les employés de la municipalité, c'est-à-dire des citoyens danois.
L'autorité de protection des données estime donc que le transfert des données en question est soumis à des conditions aux États-Unis qui empêchent le contrat type utilisé comme base pour le transfert d'être un moyen suffisant pour assurer un niveau de protection substantiellement équivalent à celui assuré au sein de l'UE/EEE. La municipalité d'Helsingør est donc tenue de veiller à ce que des mesures supplémentaires soient mises en place pour porter le niveau de protection au niveau requis.
En particulier, le CEPD note que les mesures contractuelles et organisationnelles supplémentaires ne permettront généralement pas de contrer l'accès aux données à caractère personnel ou leur collecte par les autorités répressives américaines à des fins de surveillance. Par conséquent, des mesures techniques supplémentaires seront nécessaires.
La municipalité de Helsingør a déclaré que les données à caractère personnel sont cryptées à la fois en transit et au repos lorsque les données sont transférées et traitées par Google LLC. Toutefois, la municipalité a également indiqué que Google LLC peut accéder aux données en texte clair.
Le CEPD estime que le cryptage peut être une mesure supplémentaire efficace, apte à compléter le contrat type de la Commission européenne et à amener globalement le niveau de protection dans un pays tiers au niveau européen requis.
Cependant, le CEPD considère que, dans le cas présent, le cryptage n'est pas approprié pour traiter les conditions aux États-Unis qui empêchent le contrat type d'être un moyen suffisant pour assurer la protection effective des données à caractère personnel transférées.
À cet égard, le CEPD a tenu compte du fait que la collecte de données à caractère personnel par les autorités américaines chargées de l'application de la loi en vertu de la loi FISA 702 est effectuée en émettant des directives aux fournisseurs de services de communication électronique et nécessite donc leur assistance, et que dans ces circonstances, les données à caractère personnel transférées peuvent être obtenues en vertu de la loi FISA 702, étant donné que Google LLC a accès aux données en texte clair.
En conséquence, le CEPD considère que les données à caractère personnel que la municipalité d'Helsingør a demandé à Google Cloud EMEA Limited de transférer aux États-Unis ne bénéficient pas d'un niveau de protection substantiellement équivalent à celui de l'UE/EEE et que la municipalité d'Helsingør n'a pas pris les mesures additionnelles nécessaires pour porter le niveau de protection à celui requis.
Le CEPD considère donc que le transfert de données à caractère personnel que la municipalité d'Helsingør a demandé à Google Cloud EMEA Limited d'effectuer n'est pas conforme à l'article 44 du règlement sur la protection des données, cf. article 46, paragraphe 1, point c).
<h3>Résumé</h3>Compte tenu de l'injonction émise le 10 septembre 2021 et de la limitation du traitement émise à la même date, et à la suite de l'examen de l'évaluation des risques effectuée par la municipalité d'Helsingør et de la documentation de la municipalité en général, le contrôleur de la protection des données considère qu'il y a lieu d'interdire à la municipalité d'Helsingør de traiter des données à caractère personnel au moyen des Chromebooks et de Workspace for Education de Google. L'interdiction s'applique jusqu'à ce que la municipalité de Helsingør ait mis l'activité de traitement en conformité avec le GDPR, comme indiqué dans la présente décision, et qu'elle ait produit une documentation adéquate à cet effet.
En outre, tout transfert de données à caractère personnel vers les États-Unis que la municipalité d'Helsingør a chargé Google Cloud EMEA Limited d'effectuer en tant que sous-traitant de données pour la municipalité est suspendu jusqu'à ce que la municipalité d'Helsingør puisse démontrer qu'elle est en conformité avec le chapitre V du GDPR.
L'interdiction et la suspension prennent effet immédiatement, mais la municipalité de Helsingør dispose d'une période allant jusqu'au 3 août 2022 pour retirer et résilier les utilisateurs et les droits, ainsi que pour supprimer les données déjà transférées.
Les interdictions sont prononcées en vertu de l'article 58, paragraphe 2, points f) et j), du règlement sur la protection des données.
La violation d'une interdiction émise par l'autorité de protection des données est passible, en vertu de l'article 41, paragraphe 2, point 4, de la loi sur la protection des données, d'une amende ou d'une peine d'emprisonnement n'excédant pas six mois (voir l'article 41, paragraphe 1).
Enfin, le contrôleur de la protection des données estime qu'il y a lieu de critiquer sérieusement le fait que le traitement des données à caractère personnel par la municipalité d'Helsingør n'a pas été effectué conformément à l'article 5, paragraphe 2, du règlement sur la protection des données, cf. article 5, paragraphe 1, point a), article 24, cf. article 28, paragraphe 1, article 35, paragraphe 1, et article 44, cf. article 46, paragraphe 1.
<h3>Choix des mesures correctives</h3>Dans le choix de la mesure corrective, le CEPD a mis l'accent sur la nécessité de mettre fin rapidement à la situation illicite. En outre, le CEPD a accordé un poids atténuant au fait que la municipalité d'Helsingør a - à tous les stades du traitement du dossier - contribué de manière positive et responsable à fournir la documentation nécessaire et à clarifier les opérations de traitement, et a accordé un poids particulier au fait que les transferts de données à caractère personnel en question vers les États-Unis ont précédemment fait l'objet d'une décision d'adéquation en vertu de l'article 45 du règlement, qui est arrivée à expiration.
<h2>Remarques finales</h2>Le CEPD note qu'il incombe à la municipalité d'Helsingør de rectifier et d'effacer les données conformément à la décision. La municipalité doit donc contacter les parents des enfants concernés afin de procéder aux rectifications, anonymisations ou effacements des données personnelles enregistrées que les parents eux-mêmes ne peuvent pas effectuer dans les systèmes dans lesquels les données personnelles des élèves ont été publiées ou transmises par inadvertance.
</blockquote>Voir la source sur datatilsynet.dk (danois).
</blockquote>Deux semaines seulement après l'Italie, le Danemark devient le quatrième pays à sanctionner Google. Comme prévu, de plus en plus de pays membres de l'UE parviennent à la même conclusion : Les produits Google violent la législation européenne.
- Le Danemark interdit Google Workspace aux municipalités
- Pourquoi les États membres de l'UE interdisent-ils Google Analytics ?
- Pourquoi n'y a-t-il pas de nouveau bouclier de protection de la vie privée avec les États-Unis ?
- Mises à jour
- Que nous réserve l'avenir ?
Le Danemark interdit Google Workspace aux municipalités
Dans sa déclaration, l'Autorité danoise de protection des données (DPA) a examiné un cas spécifique, à savoir l'utilisation de Chromebooks et de Workspace par la municipalité d'Helsingør.
En septembre 2021, l'autorité danoise de protection des données a pris une décision ordonnant à la municipalité d'Helsingør de procéder à une évaluation des risques liés au traitement des données à caractère personnel dans les écoles primaires.
Sur la base des résultats de l'évaluation, l'autorité de protection des données a constaté que le traitement n'était pas conforme aux exigences du règlement GDPR. Elle a conclu que les données pouvaient être transférées vers des pays tiers (notamment les États-Unis) sans le niveau de sécurité requis.
À la lumière de cette conclusion, la municipalité d'Helsingør est suspendue de toute opération de traitement impliquant le transfert de données à caractère personnel vers les États-Unis. En outre, elle a reçu une interdiction générale de traitement avec Google Workspace de la part de l'autorité danoise de protection des données.
La DPA a ajouté que les décisions s'appliqueraient probablement à d'autres municipalités utilisant le même modèle de traitement.
La suspension prend effet immédiatement, mais la municipalité d'Helsingør a jusqu'au 3 août 2022 pour supprimer les données déjà transférées.
Dans la déclaration de Datatilsynet DK, les sanctions ne s'appliquent qu'aux municipalités. Nous avons contacté Allan Frank, qui a rédigé cette déclaration en tant que spécialiste de la sécurité informatique et juriste à l'agence danoise de protection des données (Datatilsynet DK). Nous lui avons demandé si les sanctions s'appliquaient uniquement aux municipalités ou de manière générale. Sa réponse :
"Cette déclaration concerne les livres chromés et l'espace de travail dans les écoles publiques danoises. Ces principes s'appliquent à tous les services en nuage, mais au Danemark, nous prenons des décisions dans des cas spécifiques. Ils ne peuvent être appliqués à d'autres situations (similaires) que si le fait juridique peut être considéré comme identique".
Nous pensons que le motif juridique pour les entreprises est le même. Elles envoient des données personnelles aux États-Unis, principalement parce que ce n'est pas la première agence de protection des données de l'UE à interdire les produits Google. Toutefois, aucune décision officielle n'a encore été prise pour les entreprises ordinaires.
Pourquoi les États membres de l'UE interdisent-ils Google Analytics ?
Il faut remonter à juillet 2020, lorsque NOYB (une ONG de défense des droits numériques) a déposé une plainte affirmant que le transfert de données vers les États-Unis violait le GDPR. Cette plainte est connue sous le nom de Schrems II.
Le GDPR a pour seul mandat de protéger la vie privée des citoyens de l'UE. Lorsque des données personnelles sont transférées aux États-Unis, cette protection n'est plus garantie. Google (et bien d'autres) est considéré comme un "fournisseur de services de communication électronique", ce qui signifie que Google est obligé de divulguer des données aux services de renseignement américains (si on le lui demande). Par conséquent, les données personnelles des citoyens de l'UE ne sont pas suffisamment protégées lorsqu'elles sont transférées à l'étranger.
NOYB a réussi à invalider le bouclier de protection de la vie privée (mis en place pour protéger le transfert de données), et les mesures supplémentaires prises par Google ont été déclarées insuffisantes.
La France (CNIL) a interdit Google Analytics en février de cette année et a fourni de nouvelles lignes directrices en juin. Entre-temps, Google a proposé différentes solutions qui ont toutes été rejetées :
- Solution 1 : l'anonymisation des données personnelles
- Solution 2 : l'utilisation d'identifiants uniques
Tout d'abord, Google n'a pas pu démontrer que l'anonymisation des données a eu lieu avant le transfert des données vers les Etats-Unis. Ensuite, Google peut enrichir les identifiants uniques et les combiner avec d'autres points de données. La CNIL a conclu qu'il est toujours techniquement impossible d'utiliser Google Analytics d'une manière conforme au GDPR.
Tant que les données personnelles des citoyens de l'UE ne seront pas pleinement protégées, les produits Google enfreindront la législation européenne.
Pourquoi n'y a-t-il pas de nouveau bouclier de protection de la vie privée avec les États-Unis ?
Peu après l'interdiction de Google Analytics par la France (CNIL) en février, l'UE et les États-Unis sont parvenus à un accord. Vous pouvez lire les deux déclarations ici et ici. Toutefois, il s'agit d'un accord politique qui ne s'appuie sur aucun document juridique. En d'autres termes, l'accord n'a aucune valeur juridique.
Pour parvenir à un accord qui fonctionne, nous avons besoin d'un document juridique que les juristes peuvent analyser. La rédaction de ce document pourrait prendre un certain temps. Ensuite, la Commission européenne devra prendre une "décision d'adéquation", qui devra d'abord être examinée par l'EDPD (European Data Protection).
De l'autre côté de l'Atlantique, le président Biden doit signer un décret. Ce processus prendra également plusieurs mois et ne pourra être enclenché que lorsqu'il y aura un document juridique. Enfin, l'accord doit être formellement adopté avant que les organisations puissent l'utiliser.
L'annonce récente a donné l'impression qu'un accord était très proche, mais nous sommes encore loin d'un accord valide. En attendant, continuer à utiliser les produits Google est contraire à la législation européenne.
Mises à jour
Le nouveau cadre de transfert de données avec les États-Unis est en bonne voie. La Commission européenne a publié un projet de proposition. L'approbation des États membres est presque certaine, mais le projet sera certainement contesté par la Cour de justice. En d'autres termes, nous nous attendons à un arrêt Schrems III. Il est difficile de dire comment cela se passera, et l'avenir des transferts de données reste donc incertain.
Il y a également des mises à jour sur l'affaire Google Workspace :
- l'autorité de protection des données a pris une nouvelle décision sur l'affaire en août 2022, confirmant sa position
- en septembre 2022, le DPA a ordonné à 50 municipalités supplémentaires de mettre en conformité leur traitement de données. Dans l'intervalle, l'ordre de rejeter l'utilisation de Google Workspace a été suspendu pour la municipalité d'Helsingor.
- les municipalités et Google ont discuté des problèmes de confidentialité et ont fourni à la DPA de nouveaux documents sur Google Workspace. L'autorité de protection des données réexaminera l'affaire.
La DPA a également publié un communiqué de presse sur l'utilisation de Google Analytics en septembre 2022. Concrètement, la DPA a interdit l'utilisation de Google Analytics au Danemark, suivant l'exemple des autorités autrichiennes, françaises et italiennes. Pour en savoir plus sur le communiqué de presse , cliquez ici.
Que nous réserve l'avenir ?
Avant de parler de l'avenir, jetons un coup d'œil sur le passé. Jusqu'à présent, nous avons vu
- Août 2020 : Schrems ii invalide le bouclier de protection de la vie privée
- Décembre 2021 : L'Autriche (DSB) interdit Google Analytics
- Février 2022 : la France (CNIL) interdit Google Analytics
- Mars 2022 : l'UE et les États-Unis parviennent à un accord politique
- Juin 2022 : l'Italie interdit Google Analytics
- Juin 2022 : La DPA irlandaise se rapproche de l'interdiction de Facebook par l'UE
- Juillet 2022 : le Danemark interdit les produits Google.
Les agences de protection des données montrent enfin les dents en interdisant Google Analytics jusqu'à ce que des mesures adéquates soient mises en place.
La lutte pour la protection de la vie privée est engagée, et tant qu'aucun accord ne sera trouvé, nous verrons de plus en plus d'États membres de l'UE conclure que les transferts de données vers les États-Unis violent la législation du GDPR.
Bien sûr, nous sommes un peu biaisés par cette nouvelle, car nous dirigeons un concurrent de Google Analytics. Mais nous le faisons parce que nous nous sentons concernés. Nous croyons sincèrement qu'il est possible d'apporter de la valeur ajoutée sans tracer les individus. C'est pourquoi nous avons créé Simple Analytics, un outil d'analyse axé sur la protection de la vie privée. Vous voulez savoir comment nous nous comparons ? Lisez notre article de blog ou essayez-nous. Merci de votre lecture et luttons pour un avenir plus respectueux de la vie privée !