Le 13 janvier, l'autorité néerlandaise de protection des données (AP) a ouvertement remis en question l'utilisation légale de Google Analytics aux Pays-Bas. Dans sa déclaration, l'AP a laissé entendre que l'utilisation de Google Analytics pourrait être interdite à l'avenir.
Cette déclaration intervient après que le DSB (l'équivalent autrichien de l'AP) a confirmé que l'utilisation de Google Analytics était contraire à la réglementation GDPR.
Nous avons creusé un peu plus loin pour voir ce qui se passe réellement en ce moment.
Explorons la situation !
La plainte
Le 14 août 2020, une personne (appelons-la "personne concernée") a visité un site web consacré à la santé en se connectant à l'aide de ses données d'identification. Le site web en question utilisait Google Analytics pour suivre et contrôler les visiteurs de son site web.
Quelques jours plus tard, le 18 août 2020, noyb (une ONG de défense des droits numériques) a déposé une plainte auprès de l'ORD au nom de la "personne concernée". La plainte a été déposée à la fois contre le fournisseur du site web et contre Google, en tant que propriétaire de Google Analytics.
La plainte fait valoir que le transfert de données à Google viole le règlement GDPR, car Google est considéré comme un "fournisseur de services de communication électronique". Cela signifie qu'il est possible d'ordonner à Google de divulguer aux services de renseignement américains des données relatives à des citoyens de l'UE. Cela signifie que les données personnelles des citoyens de l'UE ne sont pas suffisamment protégées contre la surveillance américaine et qu'il y a donc violation du règlement GDPR.
C'est le point critique de la plainte. En clair, il ne s'agit pas de l'utilisation des données personnelles des citoyens de l'UE : Il ne s'agit pas de l'utilisation de Google Analytics. Il s'agit du transfert de vos données personnelles à des fournisseurs américains.
La décision
La première plainte a donné lieu à une décision qui applique les critères de "Schrems II". Schrems II est un arrêt de principe sur les transferts de données qui rend beaucoup plus difficile le transfert de données vers les États-Unis. Cette décision a été largement ignorée par les entreprises jusqu'à présent. En fait, les plaintes déposées par noyb visent à inciter les autorités à appliquer Schrems II de manière stricte.
La plainte déposée par noyb comprend de nombreuses soumissions des deux parties pendant un an et demi. Google a fait valoir que même s'il y avait eu transfert, les données ne seraient pas considérées comme des données à caractère personnel car elles ne pourraient pas être attribuées à la "personne concernée". En outre, elle a fait valoir qu'une "approche fondée sur le risque" devrait être prise en compte, car le risque de devoir effectivement divulguer les données était très faible.
L'ORD a statué différemment et a renoncé à la plupart des arguments soulevés par Google.
Google est considéré comme un "fournisseur de services de communication électronique" et peut être contraint de divulguer des données à caractère personnel. Le niveau de protection des données personnelles est donc considéré comme insuffisant. Les mesures supplémentaires mises en place par Google ont été jugées insuffisantes. Elles n'ont pas pu empêcher la divulgation de données personnelles aux services de renseignement américains.
La réponse de Google
Russell Ketchum, responsable de la gestion des produits de Google Analytics, a répondu au nom de Google. Il a déclaré que "Google Analytics aide les consommateurs à se mettre en conformité en leur fournissant une série de contrôles et de ressources". Il a précisé que les adresses IP pouvaient être rendues anonymes et que la collecte de données pouvait être désactivée et supprimée (sur demande).
Je pense qu'il est complètement à côté de la plaque. Dans sa réponse, il se place principalement du point de vue du propriétaire du site web. Il affirme que les organisations contrôlent les données qu'elles collectent. Cependant, il ne s'agit pas des propriétaires de sites web. Il s'agit des visiteurs des sites web. Leurs données doivent être protégées, et c'est pour cela que le GDPR a été créé.
Le problème est le transfert de données à des fournisseurs américains, soumis à la surveillance du gouvernement américain, comme Google. Il n'y consacre qu'une phrase, indiquant qu'avant tout transfert de données vers des serveurs aux États-Unis, les adresses IP sont rendues anonymes.
Cela reste une violation du règlement GDPR. L'ORD a statué que même les adresses IP anonymes sont des données à caractère personnel, étant donné qu'elles peuvent être combinées à d'autres données numériques pour identifier un visiteur. C'est également sur ce point que la plupart des alternatives à Google Analytics respectueuses de la vie privée se trompent. Chez Simple Analytics, nous ne collectons jamais votre adresse IP, même de manière anonyme, contrairement à d'autres alternatives respectueuses de la vie privée.
Mises à jour
En juin 2023, l'autorité néerlandaise n'avait pas encore communiqué sur cette affaire. Mais il y a beaucoup d'autres développements - et ils sont tous mauvais pour Google Analytics :
- les autorités de protection de la vie privée française, italienne, norvégienne et finlandaise se sont toutes prononcées contre l'utilisation de Google Analytics (bien que la décision finlandaise soit encore préliminaire)
- l'autorité danoise a adopté la même position dans un communiqué de presse
- Meta a reçu l'ordre d'arrêter les transferts de données américaines pour Facebook et a été condamné à une amende de 1,2 milliard d'euros dans une affaire très médiatisée impliquant toutes les autorités européennes chargées de la protection de la vie privée.
Entre-temps, l'UE et les États-Unis ont pris des mesures pour mettre en place un nouveau cadre pour le transfert de données. Ce cadre n'est pas encore totalement mis en œuvre et fera certainement l'objet d'un recours devant la Cour de justice, très probablement par M. Schrems lui-même. En résumé, Schrems III sera un baptême du feu et il est difficile de dire si le nouveau cadre y survivra !
Les implications
En bref : Il s'agit d'une bonne décision, mais pas d'une nouvelle. Il s'agit d'une confirmation de ce qui a été décidé en juillet 2020, mais elle semble maintenant avoir plus d'impact. Personnellement, j'ai le sentiment que la loi sera désormais appliquée.
Si nous pensons que c'est le cas, je m'attends à ce que d'autres États membres de l'UE suivent l'exemple autrichien. Le NOYB a déposé un total de 101 plaintes dans plusieurs États membres de l'UE et parle d'une "réponse coordonnée". Après l'Autriche, les Pays-Bas sont les premiers à remettre en question l'utilisation légale de Google Analytics.
Comme l'a noté Max Schrems (membre honoraire du noyb), il y a deux solutions. Soit les fournisseurs américains devront héberger les données étrangères en dehors des États-Unis, soit les États-Unis adopteront une réglementation adéquate en matière de protection des données.
Si nous ne parvenons pas à mettre en œuvre l'une des solutions susmentionnées, nous utiliserons à l'avenir des produits différents de l'autre côté de l'étang. Quoi qu'il en soit, cela donne l'occasion à d'autres de concurrencer Google et les "Big Tech" dans leur ensemble.
Chez Simple Analytics, nous avons créé une alternative à Google Analytics qui respecte la vie privée. Notre mission est de montrer aux organisations que l'analyse web peut être faite différemment en fournissant des informations précises tout en étant conforme au GDPR dès le départ. De plus, vous n'aurez jamais à vous inquiéter si les données de vos visiteurs sont transférées à des fournisseurs américains, car nos serveurs sont situés aux Pays-Bas. Essayez-nous.