L'autorité finlandaise de protection des données (le médiateur pour la protection des données) s'est prononcée contre l'utilisation de Google Analytics par quatre bibliothèques de la région métropolitaine d'Helsinki. Vous avez peut-être déjà entendu parler de cette affaire, car les autorités autrichiennes, françaises, italiennes et danoises ont toutes estimé que l'utilisation de Google Analytics n'était pas compatible avec le GDPR. _
Vous pouvez lire le communiqué de presse ici.
Nous examinerons d'abord l'affaire en quelques mots, puis nous jetterons un coup d'œil sur l'ensemble de la situation qui sous-tend la décision. Plongeons dans l'affaire !
(Mise à jour : l'autorité norvégienne a suivi peu de temps après, bien que sa décision soit encore préliminaire. Deux mois plus tard, Meta a perdu une affaire beaucoup plus importante portant sur les mêmes questions juridiques que celles soulevées par les décisions prises à l'encontre de Google Analytics. Cette affaire s'est soldée par une amende record de 1,2 milliard d'euros et par la possibilité très réelle d'un black-out de Facebook à l'échelle de l'Union européenne.)
Les Moomins s'enfuient. Finition en bande dessinée par Tove Jansson
La décision
L'autorité a constaté plusieurs violations en matière de consentement et de transparence, mais nous les laisserons de côté pour nous concentrer sur les transferts de données à caractère personnel.
L'autorité n'a rien dit de nouveau à cet égard. Elle a précisé que les États-Unis n'étaient pas une destination sûre pour les transferts de données, conformément à l'arrêt Schrems II de la Cour de justice de l'UE. Elle a également constaté que les bibliothèques n'avaient pas mis en place des garanties suffisantes pour les transferts de données requis par Google Analytics, ce qui constitue une violation des règles du GDPR en matière de transferts de données. C'est exactement ce que d'autres autorités européennes ont déclaré dans des cas similaires, et cela créera un précédent contre Google Analytics dans un autre État membre de l'UE.
Pour être clair, il s'agit techniquement d'une décision concernant un contrôleur de données spécifique (les bibliothèques), mais elle a des implications générales pour la Finlande. En théorie, un autre contrôleur pourrait mettre en œuvre de meilleures garanties et utiliser Google Analytics en toute légalité. Mais le mot "théorie" est ici le mot clé car, dans la pratique, c'est tout simplement impossible.
Les responsables du traitement des données acceptent tous les mêmes conditions standardisées de la part de Google, y compris les mêmes clauses de protection des données. Ils n'ont aucune marge de manœuvre pour négocier des conditions différentes. Ils ne peuvent pas non plus mettre en œuvre eux-mêmes des garanties techniques suffisantes, car celles-ci n'existent pas pour Google Analytics.
Le cryptage de bout en bout ne fonctionne pas parce que Google Analytics doit traiter les identifiants de cookies en clair. Le cryptage de bout en bout est insuffisant car le gouvernement américain peut exiger de Google qu'il fournisse la clé de décryptage. L'implémentation côté serveur de Google Analytics pourrait fonctionner en théorie, mais elle est fastidieuse et handicaperait gravement les performances de l'outil.
En résumé, si les autorités finlandaises s'en tiennent à leur position, Google Analytics est pratiquement interdit en Finlande.
Vue d'ensemble
Schrems I et II
Google Analytics a déjà été pratiquement interdit dans les pays membres de l'UE. Mais l'histoire des transferts de données est encore plus longue, et un petit récapitulatif peut clarifier le contexte de la décision finlandaise.
Tout a commencé en 2012, lorsque les dossiers Snowden ont révélé l'existence de programmes de surveillance étendus et aveugles des données étrangères aux États-Unis. Un an plus tard, le citoyen autrichien Max Schrems (aujourd'hui célèbre militant de la protection de la vie privée) a déposé une plainte contre Facebook Irlande. Il a fait valoir que le transfert de ses données personnelles à la société mère américaine Facebook les exposait à la surveillance des États-Unis et était donc illégal au regard de la législation européenne sur la protection des données. Ce fut le début d'une longue bataille juridique : l'affaire a été renvoyée deux fois devant la Cour de justice de l'UE, ce qui a conduit à l'invalidation de deux accords de transfert de données entre l'UE et les États-Unis dans les arrêts Schrems I et II, qui ont fait date.
L'arrêtSchrems II, rendu en 2020, a eu un impact considérable sur les transferts de données pour deux raisons. Premièrement, la Cour a invalidé le cadre du bouclier de protection de la vie privée, qui permettait auparavant de transférer facilement des données de l'UE vers les États-Unis. Deuxièmement, la Cour a examiné les clauses contractuelles types, un mécanisme de conformité commun aux entreprises souhaitant transférer des données.
Il convient de s'arrêter quelques instants sur les clauses contractuelles types (CCN). Il s'agit d'un ensemble de clauses standardisées rédigées par la Commission et destinées à être incorporées dans un accord contraignant avec un destinataire. En d'autres termes, si vous souhaitez transférer des données en dehors de l'UE, vous pouvez intégrer les CSC dans un contrat, et les clauses indiqueront à l'autre partie ce qu'elle peut et ne peut pas faire avec les données. Il s'agit d'un moyen de garantir que les données à caractère personnel sont transférées de manière sûre et confidentielle en dehors de l'Union. Mais il y a un problème : ces clauses ne lient que les parties au contrat et ne font rien pour empêcher la surveillance de l'État.
Dans l'affaire Schrems II, la Cour n'a pas invalidé les CSC en tant que mécanisme de transfert de données, mais a décidé qu'elles devaient être complétées par des garanties supplémentaires en cas de besoin, comme c'est le cas aux États-Unis. On ne peut donc pas se contenter de les copier-coller, de faire signer le contrat et de s'en tenir là. Vous devez vous assurer que les CSC fonctionnent réellement pour votre transfert de données, et si ce n'est pas le cas, vous devez compenser ce manque de protection d'une autre manière. Le problème est qu'il est difficile et parfois impossible de le faire lorsqu'il s'agit de surveillance par l'État.
Les 101 plaintes
Juste après l'arrêt Schrems II, l'ONG noyb (présidée par M. Schrems) a déposé une série de 101 plaintes stratégiques contre Google Analytics et Facebook Connect, afin d'inciter les autorités européennes à appliquer rigoureusement l'arrêt Schrems II.
Lesautorités ont coordonné leur approche des plaintes au niveau européen. Ainsi, les autorités autrichiennes, françaises** et** italiennes de protection de la vie privée se sont prononcées contre Google Analytics lors de l'examen des plaintes déposées par noyb, et l'autorité danoise a adopté une position similaire dans un communiqué de presse. Les décisions sont toutes identiques, et la décision finlandaise n'est pas différente. Toutes ces autorités disent exactement la même chose : Google Analytics ne peut pas assurer la sécurité des données personnelles.
Grâce à la coordination au niveau européen et à l'influence des autorités françaises et italiennes, il est probable que d'autres autorités suivront.
Et maintenant ?
Le problème des transferts de données ne se limite pas à Google Analytics : l'application stricte de la logique de Schrems II rendra difficile, voire impossible, de faire confiance à de nombreux fournisseurs de services américains. C'est pourquoi l'Union européenne et les États-Unis tentent de trouver une solution politique.
L'Union européenne et les États-Unis ont négocié un nouvel accord de transfert de données appelé " Trans Atlantic Privacy Framework" ( cadre transatlantique de protection de la vie privée). Le président américain Joe Biden a signé un décret pour rendre ce cadre possible. La Commission européenne a rédigé une décision d'adéquation - un acte qui facilite les transferts de données. Les États membres doivent encore approuver le projet de décision avant qu'il n'entre en vigueur.
Tout va bien ? Pas tout à fait : la décision à venir sera certainement contestée devant la Cour de justice de l'UE.
En vertu du GDPR, la Commission européenne ne peut pas émettre une décision d'adéquation pour un pays simplement parce qu'elle l'apprécie. La décision est une évaluation du système juridique d'un État et doit remplir certains critères. La Cour a déjà invalidé deux accords de transfert de données dans le passé pour cette raison (arrêts Schrems I et II). Un arrêt Schrems III se profile donc à l'horizon, et il est difficile de dire comment il se déroulera.
Le nouveau cadre est assez complexe. Il représente un progrès par rapport au passé, mais il est potentiellement problématique à certains égards et pourrait ne pas survivre à l'examen juridique de la Cour. Pour l'instant, l'avenir des transferts de données reste incertain.
Conclusions
Après ce long détour, nous pouvons faire quelques considérations finales sur l'affaire. Premièrement, la décision de l'autorité finlandaise n'a rien à voir avec les 101 plaintes. Les plaintes ont donc un impact sur la manière dont d'autres affaires de transfert de données sont traitées - ce qui est exactement ce que noyb voulait obtenir avec ses plaintes. Deuxièmement, la décision intervient bien après que le président américain Joe Biden a publié son décret. Cela suggère que l'application de Schrems II ne sera pas suspendue par les négociations politiques sur la décision d'adéquation.
Je peux imaginer que vous êtes fatigués de comprendre ces changements législatifs, mais du point de vue de la protection de la vie privée, ils sont nécessaires. Si vous souhaitez rester à l'écart de tout cela, des options d'analyse respectueuses de la vie privée vous permettent toujours d'obtenir les informations dont vous avez besoin sur les performances de votre site web. Simple Analytics est l'une d'entre elles. Nous pensons qu'Internet devrait être indépendant et un endroit convivial pour les visiteurs de sites Web. Si vous êtes d'accord avec cette idée, essayez Simple Analytics. C'est le moyen le plus simple de respecter la vie privée de vos clients.