Les ennuis juridiques de Google Analytics se poursuivent. Le 10 mai, le tribunal de grande instance de Cologne s 'est prononcé contre l'utilisation de Google Analy tics. Deux jours plus tard, la Cour administrative fédérale autrichienne est parvenue à la même conclusion et a confirmé une décision contre une décision de l'autorité autrichienne de protection des données à l'encontre de Google Analytics.
- La décision allemande
- La décision autrichienne
- Ce qu'il faut retenir
- Les principales questions juridiques
- Mesures de protection supplémentaires : un problème général
- Et maintenant ?
- Conclusions
Plongeons dans le vif du sujet !
La décision allemande
L'affaire a été introduite par le centre des consommateurs de Nordrhein-Westphalen contre Deutsche Telekom, le plus grand fournisseur de télécommunications sur le marché allemand.
Le site web de Deutsche Telekom utilisait Google Analytics et transmettait des informations personnelles aux serveurs de Google aux États-Unis pour traitement. Le centre des consommateurs a fait valoir l'évidence : à la lumière de l'arrêt Schrems II, ce transfert de données n'était pas conforme au GDPR.
Sans surprise, la Cour a donné raison à Deutsche Telekom et lui a ordonné de cesser de transmettre des informations personnelles aux États-Unis à des fins de marketing et d'analyse du web. En pratique, cela équivaut à une ordonnance de rejet de l'utilisation de Google Analytics.
L'action portait également sur d'autres questions relatives à la protection de la vie privée, notamment la conception déroutante de la bannière de cookies du site web et la transmission de données à caractère personnel à des agences de crédit. Seules les plaintes relatives à Google Analytics ont abouti.
Compte tenu des ressources de Deutsche Telkom et des quantités de données personnelles concernées, nous nous attendons à ce que l'entreprise fasse appel de la décision.
La décision autrichienne
La décision autrichienne découle de l'une des 101 plaintes déposées par l'ONG noyb, que nous avons déjà examinée en profondeur. Il s'agit d'un appel contre une décision antérieure prise par l'autorité autrichienne de protection de la vie privée (DSB) - en fait, la toute première décision contre les transferts de données de Google Analytics émanant d'une autorité européenne de protection de la vie privée.
En ce qui concerne les faits, une personne représentée par noyb s'est plainte qu'un site web anonyme avait violé les règles du GDPR sur le transfert de données en transférant ses données personnelles aux États-Unis par le biais de Google Analytics sans garanties suffisantes. La plainte a été accueillie par l'autorité autrichienne de protection des données et la décision a ensuite été contestée par le propriétaire du site web.
La Cour administrative fédérale autrichienne a confirmé la décision de l'ORD et rejeté les moyens de défense du propriétaire du site web, notamment l'approche controversée** fondée sur les risques** en matière de transferts de données.
Selon le gdprhub, le propriétaire du site web a l'intention de contester à nouveau la décision devant la Cour administrative suprême autrichienne.
Ce qu'il faut retenir
Ces deux décisions n'apportent rien de nouveau sur le plan juridique, mais elles montrent que l'application de Schrems II ne se limite pas aux autorités chargées de la protection de la vie privée : les tribunaux s'en mêlent également.
Une situation similaire s'est déjà produite il y a quelque temps, lorsqu'un tribunal administratif allemand s'est prononcé contre l'utilisation de Google Analytics. Mais la décision a été motivée de manière peu rigoureuse et a été annulée en appel.
Ces deux décisions sont différentes. Elles sont clairement motivées et, à notre avis, ont de bonnes chances d'être confirmées en cas de contestation.
Et bien sûr, la décision autrichienne, étant un appel, suggère que l'approche de l'ORD sur la question des transferts de données est saine. Mais cela était déjà évident. Les autorités italiennes, françaises, finlandaises et norvégiennes ont adopté des décisions pratiquement identiques, et l'autorité irlandaise et le Conseil européen de protection ont utilisé exactement les mêmes critères pour évaluer les transferts de données de Meta.
Les principales questions juridiques
Les décisions ne sont en rien nouvelles et ne font qu'appliquer les critères déjà énoncés dans le célèbre arrêt Schrems II de la Cour de justice de l'Union européenne. Les transferts de données sont une longue histoire que nous avons déjà couverte en détail.
Le GDPR exige que les transferts de données extracommunautaires soient sûrs. Cependant, les données européennes (ainsi que toutes les données étrangères) transférées aux États-Unis font l'objet d'une surveillance étendue de la part de l'État, comme le montrent les fichiers confidentiels divulgués par Edward Snowden. Ce système de surveillance fait qu'il est difficile pour les organisations européennes de transférer des données vers les États-Unis de manière légale et sûre.
Dans les deux cas en question, les transferts de données ont eu lieu entre Google Ireland et sa société mère basée aux États-Unis, Google LLC. Afin de rendre ce transfert de données sûr et légal, Google a utilisé une mesure de protection spécifique appelée " clauses contractuelles types " (CCN).
Les CSC sont un mécanisme de transfert de données mis en place par le GDPR. En résumé, il s'agit de clauses qui indiquent aux entreprises ce qu'elles peuvent et ne peuvent pas faire avec les données personnelles qu'elles reçoivent. Les CSC sont incorporées dans un contrat et sont contraignantes pour l'entreprise qui reçoit les données. En raison de leur caractère contraignant, les CSC peuvent pallier l'absence de législation sur la protection de la vie privée dans le secteur privé.
Toutefois, l'arrêt Schrems II a mis en évidence un problème majeur concernant les CSC : elles ne sont pas contraignantes pour les États-Unis ou tout autre État étranger. À elles seules, les CSC ne peuvent pas protéger les données personnelles contre la surveillance de l'État.
C'est pourquoi l'arrêt Schrems II exige que les organisations adoptent des mesures supplémentaires lorsqu'elles transfèrent des données aux États-Unis et dans d'autres pays où la surveillance électronique est très répandue. Mais cela est difficile pour de nombreux services et totalement impossible pour Google Analytics, car Google LLC a besoin d'accéder à des données en clair et de les analyser pour fournir le service.
Cette absence de mesures supplémentaires est au cœur de toutes les décisions prises à l'encontre du transfert de données de Google Analytics. Chaque fois que la question des transferts de données est soulevée, les autorités chargées de la protection de la vie privée s'en tiennent aux règles Schrems II et examinent les mesures complémentaires. Et elles ont toujours constaté qu'elles étaient insuffisantes, car il n'existe tout simplement pas de mesures permettant d'assurer la confidentialité des transferts de données pour Google Analytics.
Mesures de protection supplémentaires : un problème général
Les transferts de données et les mesures complémentaires sont des problèmes généraux. La mise en œuvre de garanties appropriées est délicate pour certains services et totalement impossible pour d'autres.
C'est également le cas pour Google Analytics. En vertu de la législation américaine, les agences de surveillance peuvent exiger des fournisseurs de communications américains (y compris Google) qu'ils fournissent toutes les données étrangères qu'ils contrôlent.
Le cryptage peut être utile, mais pas pour Google Analytics. Pour que le service fonctionne, Google doit avoir accès aux données en clair afin de pouvoir les analyser. De plus, en vertu de la législation américaine, Google peut être tenu de fournir une clé de chiffrement au gouvernement. Ainsi, toutes les données auxquelles Google peut accéder en clair, le gouvernement peut également y accéder en clair, c'est aussi simple que cela.
Il existe d'autres mesures que le chiffrement, mais dans le cas de Google, aucune n'est vraiment adaptée, comme nous l'avons expliqué ici.
En bref, aucune solution ne fonctionne pour Google Analytics. Nous l'avons constaté à maintes reprises dans les décisions prises à l'encontre de Google Analytics. Les décisions des autorités de protection des données autrichiennes, françaises, italiennes, norvégiennes et finlandaises disent toutes la même chose : Google Analytics ne peut pas transférer des données en toute sécurité.
De plus, toutes ces décisions résultent d'une approche coordonnée du problème au niveau européen. Cette même approche a récemment conduit à une décision historique et à une amende record à l'encontre de Meta, pour les mêmes problèmes juridiques que ceux qui affectent Google Analytics.
L'ordonnance rendue à l'encontre de Meta est la preuve que pour certains services, il n'y a tout simplement pas de solution pour sécuriser le transfert de données tant que la situation juridique n'évolue pas. Meta est l'une des multinationales les plus grandes et les plus riches du monde, qui a accès à toute l'expertise juridique et technique qu'elle peut souhaiter. L'entreprise avait 1,2 milliard de bonnes raisons de sécuriser ses transferts de données, mais elle ne l'a pas fait et risque à présent une panne de Facebook à l'échelle de l'UE en conséquence
Bien sûr, vous êtes libre d'essayer de faire mieux que Meta. Mais combien de millions représente votre budget de conformité ?
Et maintenant ?
Quelle que soit l'issue de l'affaire, les tribunaux commencent à s'intéresser à la position stricte sur les transferts de données déjà adoptée par les autorités chargées de la protection des données. Si la tendance se poursuit, Google Analytics représentera un risque de conformité de plus en plus important pour les entreprises.
Le message est très clair : la récréation est terminée. L'application de la législation sera désormais sérieuse.
L'UE tente de résoudre le problème des transferts de données en adoptant un nouveau cadre de transfert de données entre l'UE et les États-Unis (le cadre transatlantique de protection des données). Mais ce cadre n'est pas encore en vigueur et sera certainement contesté devant la Cour de justice. Il est difficile de dire comment les choses se dérouleront, mais il y a de fortes chances que la Cour rejette le nouveau cadre, tout comme elle l'a fait pour les cadres Safe Harbor et Privacy Shield dans les arrêts Schrems I et II.
En résumé, l'avenir des transferts de données reste incertain.
Conclusions
Entre les interminables problèmes juridiques liés aux transferts de données de Google Analytics et la disparition prochaine d'Universal Analytics, c'est le bon moment pour abandonner Google Analytics au profit d'un autre fournisseur. Et nous avons justement celui qu'il vous faut !
Chez Simple Analytics, nous pensons que l'analyse web peut être à la fois respectueuse de la vie privée et éthique. C'est pourquoi nous construisons notre service de manière à fournir des informations importantes à nos clients sans collecter la moindre donnée personnelle de leurs visiteurs ! Si cela vous convient, n'hésitez pas à nous essayer.