Le 23 juin, l'autorité suédoise de protection des données (IMY) a rendu quatre décisions à l'encontre d'entreprises qui utilisaient Google Analytics. Toutes les décisions ont conclu que l'utilisation de Google Analytics était incompatible avec le GDPR. Deux amendes ont été prononcées cette fois-ci, dont l'une s'élève à 1 million d'euros.
Le communiqué de presse publié sur le site web de l'IMY donne une bonne vue d'ensemble du contexte juridique des décisions, mais il y a beaucoup plus à creuser. Examinons donc de plus près la décision et ce qu'elle implique pour l'utilisation de Google Analytics.
Les questions juridiques
Les quatre décisions découlent des 101 plaintes déposées par l'ONG noyb contre Google Analytics et Facebook Connect. noyb a déjà intenté avec succès des actions identiques dans d'autres pays, et ces décisions vont dans le même sens, c'est-à-dire que leur contenu juridique est une application des arrêts Schrems II de la Cour de justice.
L'arrêt Schrems II impose aux entreprises qui transfèrent des données aux États-Unis de mettre en œuvre des garanties supplémentaires en plus des garanties "standard" exigées par le GDPR pour tous les transferts de données (dans la plupart des cas, les clauses contractuelles standard rédigées par la Commission européenne). Ces garanties sont nécessaires en raison du risque de surveillance des données étrangères par l'État, comme le soulignent les dossiers Snowden.
Mais ces garanties sont très difficiles à mettre en œuvre et totalement impossibles à adopter pour Google Analytics. En effet, Google Analytics a besoin d'identifier précisément les visiteurs pour fonctionner !
Dans chacune des quatre décisions suédoises :
- une personne concernée, représentée par noyb, s'est plainte que le site web de l'entreprise avait transféré illégalement ses données à caractère personnel aux États-Unis
- l'entreprise a énuméré les mesures de protection qu'elle a prises, ainsi que les mesures de protection prises par Google pour sécuriser le transfert de données
- la DPA a estimé que toutes ces mesures étaient insuffisantes et a ordonné aux entreprises de cesser d'utiliser Google Analytics.
Qu'y a-t-il de nouveau dans les décisions ?
Bien que les questions juridiques fondamentales soient les mêmes que dans toutes les autres décisions prises à l'encontre de Google Analytics, ces décisions sont intéressantes à certains égards.
Tout d'abord, des amendes ont été infligées. En fait, le plus important des quatre - le géant suédois des télécommunications Tele2- a été condamné à une amende d'un million d'euros.
D'autres autorités de protection des données ont préféré une approche plus douce jusqu'à présent et ont seulement ordonné aux entreprises de mettre fin à l'utilisation de Google Analytics. Il sera intéressant de voir si d'autres autorités suivront l'exemple de l'IMY. Si tel est le cas, Google Analytics pourrait devenir une violation coûteuse à l'avenir !
Un autre aspect intéressant de la décision est que deux des entreprises concernées mettaient en œuvre des mesures de protection techniques. En d'autres termes, elles faisaient réellement quelque chose pour essayer de préserver la sécurité des données au lieu de rédiger des textes de conformité dans leurs documents, ce qui est plutôt rare.
Malheureusement, l'autorité a constaté que ni le hachage des identifiants des cookies, ni la procuration des adresses IP par le biais d'un marquage côté serveur ne suffisent à garantir la sécurité des données. Google collecte et contrôle d'énormes quantités de données, qu'il peut utiliser pour relier des données pseudonymisées à une personne. Par exemple, un identifiant haché peut être relié aux données de navigation collectées par le biais du compte Google d'un visiteur.
En résumé : Google collecte tellement de données - via Google Analytics, les comptes Google, ses API, ses traceurs publicitaires (illégaux) sur les appareils Android, etc. - qu'il est pratiquement impossible d'anonymiser correctement les données personnelles que vous lui fournissez.
En d'autres termes, le modèle commercial de Google, avide de données, se retourne contre lui dans le cadre du GDPR !
Le contexte
Google Analytics a déjà été pratiquement interdit dans les pays membres de l'UE. Mais l'histoire des transferts de données est encore plus longue, et un petit récapitulatif peut clarifier le contexte des décisions.
De Snowden à Schrems
Tout a commencé en 2012, lorsque les dossiers Snowden ont révélé l'existence de programmes de surveillance étendus et aveugles des données étrangères aux États-Unis. Un an plus tard, le citoyen autrichien Max Schrems (aujourd'hui célèbre militant de la protection de la vie privée) a déposé une plainte contre Facebook Irlande. Il a fait valoir que le transfert de ses données personnelles à la société mère américaine Facebook les exposait à la surveillance des États-Unis et était donc illégal au regard de la législation européenne sur la protection des données. Ce fut le début d'une longue bataille juridique : l'affaire a été renvoyée deux fois devant la Cour de justice de l'UE, qui a invalidé deux accords de transfert de données entre l'UE et les États-Unis dans les arrêts Schrems I et II, qui ont fait date.
L'arrêtSchrems II, rendu en 2020, a eu un impact considérable sur les transferts de données, et ce pour deux raisons. Premièrement, la Cour a invalidé le cadre du bouclier de protection de la vie privée, qui permettait auparavant de transférer facilement des données de l'UE vers les États-Unis. Deuxièmement, la Cour a examiné les clauses contractuelles types, un mécanisme de conformité commun aux entreprises souhaitant transférer des données.
Les CSC sont un ensemble de clauses standardisées rédigées par la Commission et destinées à être intégrées dans un accord contraignant avec un destinataire. En d'autres termes, si vous souhaitez transférer des données en dehors de l'UE, vous pouvez intégrer les CSC dans un contrat, et les clauses indiqueront à l'autre partie ce qu'elle peut et ne peut pas faire avec les données. Il s'agit d'un moyen de garantir que les données à caractère personnel sont transférées de manière sûre et confidentielle en dehors de l'Union. Mais il y a un problème : ces clauses ne lient que les parties au contrat et n'empêchent en rien la surveillance de l'État.
Avec Schrems II, la Cour n'a pas invalidé les CSC en tant que mécanisme de transfert de données, mais a décidé qu'elles devaient être complétées par des garanties supplémentaires en cas de besoin, comme c'est le cas aux États-Unis. Il ne suffit donc pas de les copier-coller, de faire signer le contrat et de s'en tenir là. Vous devez vous assurer que les CSC fonctionnent réellement pour votre transfert de données, et si ce n'est pas le cas, vous devez compenser ce manque de protection d'une manière ou d'une autre. Le problème est que cela est difficile et parfois impossible lorsqu'il s'agit de surveillance par l'État.
Transferts de données après l'arrêt Schrems II
Juste après l'arrêt Schrems II, l'ONG noyb (présidée par M. Schrems) a déposé une série de 101 plaintes stratégiques contre Google Analytics et Facebook Connect, afin d'inciter les autorités européennes à appliquer rigoureusement l'arrêt Schrems II.
Les autorités ont coordonné leur approche des plaintes au niveau européen. Ainsi, les autorités autrichiennes, françaises, italiennes, finlandaises, norvégiennes et suédoises de protection de la vie privée se sont prononcées contre Google Analytics dans le cadre des plaintes déposées par noyb (bien que la décision norvégienne ne soit que préliminaire). En outre, l'autorité danoise a adopté une position similaire dans un communiqué de presse.
Ces décisions vont dans le même sens : Google Analytics n'est pas en mesure de garantir la sécurité des données personnelles. Grâce à la coordination au niveau européen et à l'influence des autorités françaises et italiennes, il est probable que d'autres autorités suivront.
Il convient de préciser que si les décisions portent officiellement sur un site web spécifique, elles constituent pratiquement une interdiction générale de Google Analytics, car une entreprise ne peut rien faire ou presque pour protéger ses données personnelles de la surveillance lorsqu'elle utilise cet outil.
Les autorités et les professionnels savent très bien ce qui est en jeu. C'est pourquoi les problèmes juridiques de Google Analytics ont fait l'objet d'une grande attention et que le Comité européen de la protection des données a veillé à une application uniforme de Schrems II plutôt que de laisser les choses à la discrétion des autorités individuelles.
Plus que Google Analytics
Il ne s'agit pas seulement de Google Analytics. Il y a quelques mois, l'autorité irlandaise a infligé une amende record de 1,2 milliard d'euros à Meta et a ordonné à l'entreprise de suspendre les transferts de données vers les États-Unis (ce qui crée le risque très réel d'un black-out de Facebook pour l'Europe).
Pour être clair, les services d'analyse du web et les réseaux sociaux sont le cadet des soucis de l'UE. Une application stricte de Schrems II pourrait menacer d'innombrables fournisseurs américains, dont certains sont actuellement essentiels pour les entreprises européennes - pensez à Oracle ou AWS !
L'UE et les États-Unis sont en train de mettre en place un nouveau cadre pour le transfert des données afin de remédier à cette situation. Toutefois, ce cadre doit encore être approuvé par les États membres et, surtout, survivre au recours juridique annoncé devant la Cour de justice de l'UE.
Il est difficile de dire ce que donnera un arrêt "Schrems III", mais pour l'instant, le sort des transferts de données entre l'UE et les États-Unis reste incertain.
Conclusion
Depuis les décisions des autorités françaises et italiennes de protection des données, nous avons prévenu que de plus en plus d'autorités nationales prendraient position contre Google Analytics. Le temps nous a donné raison. Les amendes commencent à tomber, c'est donc le bon moment pour se débarrasser de Google Analytics !
Et n'oublions pas que les transferts de données sont le moindre des problèmes de Google Analytics ! Google Analytics est une gigantesque machine de surveillance qui extrait d'énormes quantités de données personnelles, les combine avec d'autres données personnelles collectées par d'autres services de l'écosystème Google et les envoie dans la poubelle de la vie privée qu'est le système d'enchères en temps réel.
Si le GDPR était mieux appliqué, Google Analytics serait illégal en raison de ce qu'il fait avec les données personnelles, quelle que soit leur destination. Nous pensons pouvoir faire mieux !
Simple Analytics vous fournit toutes les informations dont vous avez besoin pour développer votre activité et contrôler votre campagne sans collecter de données personnelles ! Nous pensons que faire plus avec moins est la clé d'un web indépendant et respectueux de la vie privée. Si vous êtes d'accord avec cette idée, n'hésitez pas à nous essayer !