Permettons de vous le dire directement : Non, Google Analytics n'est pas illégal au Brésil. Google Analytics s'est attiré les foudres de plusieurs autorités européennes parce qu'il n'est pas conforme aux règles du GDPR sur les transferts de données extra-européens. Le GDPR ne s'applique pas au Brésil, car ce pays n'est pas membre de l'Union européenne ou de l'Espace économique européen.
Il n'y a pas d'interdiction de transfert de données au Brésil.
Cependant, les entreprises brésiliennes doivent toujours se conformer au GDPR si elles ciblent le marché européen ou surveillent les comportements dans l'UE (cela inclut l'utilisation de Google Analytics sur un site web ciblant un public européen). D'où l'intérêt de creuser un peu plus ici.
.
- La législation brésilienne sur la vie privée
- Quelles sont les règles applicables à Google Analytics au Brésil ?
- Puis-je transférer des données personnelles de l'Europe vers le Brésil ?
- Que signifie toute cette agitation autour de Google Analytics ?
- Pensées finales
Permettons-nous de plonger dedans !
La législation brésilienne sur la vie privée
La Constitution fédérale du Brésil reconnaît la vie privée comme un droit fondamental et a été récemment modifiée pour prévoir un droit à la protection des données. Par conséquent, la Constitution garantit désormais à la fois la vie privée et la protection des données en tant que droits distincts, un peu comme la Charte des droits fondamentaux de l'Union européenne.
La principale législation brésilienne en matière de protection de la vie privée est celle de l'Union européenne.
La principale législation brésilienne en matière de protection de la vie privée est la loi générale sur la protection des données de 2018. Le GDPR a fortement influencé cette loi à de nombreux égards. Le Brésil a également adopté un modèle d'application similaire à celui de l'Union européenne et a mis en place une autorité nationale de protection des données indépendante en 2020.
.
Quelles sont les règles applicables à Google Analytics au Brésil ?
Les cookies sont des données personnelles au sens de la LGPD, mais le cadre juridique brésilien est moins strict que le cadre européen et le consentement n'est pas toujours nécessaire.
Les autorités de protection des données brésiliennes ont mis en place un modèle similaire à celui de l'Union européenne.
Les autorités brésiliennes de protection des données ont publié des directives détaillées sur les cookies. En règle générale, les cookies tiers et l'utilisation de cookies à des fins de marketing nécessitent tous deux le consentement de l'utilisateur. En revanche, les cookies essentiels et les cookies pour l'analyse web peuvent être utilisés sans consentement tant que des exigences spécifiques sont respectées.
Les bannières de cookies et les cookies à des fins de marketing ont été publiées par les autorités brésiliennes de protection des données.
Les bannières de cookies et les exigences en matière de politique sont similaires à celles énoncées par le GDPR.
Puis-je transférer des données personnelles de l'Europe vers le Brésil ?
À l'heure actuelle, il n'existe pas de décision d'adéquation pour le Brésil. En d'autres termes, la Commission européenne n'a pas " donné son feu vert " au Brésil en tant que pays sûr aux fins des transferts de données.
La Commission européenne n'a pas donné son feu vert au Brésil.
Vous pouvez toujours transférer des données personnelles au Brésil, mais ce sera plus délicat que de transférer des données vers un pays de l'UE/EEE ou un pays couvert par une décision d'adéquation.
Que signifie toute cette agitation autour de Google Analytics ?
La tendance récente des décisions contre Google Analytics fait partie d'un puzzle juridique plus large sur les transferts de données entre l'EEE et les États-Unis. La question ne concerne pas directement le Brésil, mais elle concerne les sites web brésiliens qui utilisent Google Analytics, pour autant qu'ils ciblent le marché et le public européens. Nous avons déjà longuement écrit à ce sujet sur notre blog, voici donc une version courte.
La question centrale est la surveillance de l'État. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en toute sécurité qu'en dehors de l'EEE. Cela est difficile pour les transferts de données américaines, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers.
La question de la surveillance de l'État est au cœur du problème.
Deux cadres de transfert de données différents (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont rendu possibles des transferts de données conformes au GDPR par le passé, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en route, mais il sera sans doute confronté à des défis juridiques. Avec un arrêt Schrems III déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.
>
En attendant, les entreprises doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données aux États-Unis en vertu du GDPR. Cependant, le problème de ces outils est que ils n'offrent aucune protection contre la surveillance de l'État. C'est pourquoi la Cour de justice a précisé dans l'affaire Schrems II qu'ils doivent être complétés par des mesures supplémentaires de protection de la vie privée chaque fois que des données sont envoyées vers des pays "non sûrs". Cela est difficile et tout à fait impossible pour les transferts requis par certains services basés sur le cloud tels que Google Analytics (nous avons écrit à ce sujet ici). La surveillance étatique est la raison pour laquelle le transfert de données vers les États-Unis est généralement plus délicat que le transfert vers le Brésil, même si une décision d'adéquation ne couvre aucun de ces deux pays.
Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à faire comme si de rien n'était avec des prestataires de services basés aux États-Unis. Entre-temps, l'ONG noyb a déposé 101 plaintes concernant des transferts de données contre des sites web européens utilisant Google Analytics et Facebook Connect afin d'inciter les autorités à appliquer plus strictement l'arrêt Schrems II.
Les autorités de protection des données ont coordonné leur approche au niveau européen pour traiter les plaintes de manière cohérente. En conséquence, les Autrichiens, Français, Italiens, et Hongrois Les APD se sont prononcées contre l'utilisation de Google Analytics dans des décisions très similaires, et l'APD danoise a essentiellement fait de même dans un communiqué de presse. Bien que les décisions s'adressent à un contrôleur individuel, elles établissent toutes un précédent qui pratiquement équivaut à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici.
Avec la coordination au niveau européen et les autorités françaises et italiennes influentes qui montrent la voie, d'autres APD vont probablement suivre l'exemple et adopter une position plus dure sur Google Analytics.
Pensées finales
Que Google Analytics soit illégal au Brésil ou non, il n'est certainement pas respectueux de la vie privée des visiteurs de votre site web. Nous pensons que vous pouvez recueillir des informations sur votre site Web tout en respectant la vie privée de vos visiteurs. C'est pourquoi nous avons commencé à construire Simple Analytics en tant qu'alternative à Google Analytics respectueuse de la vie privée.
Avec Simple Analytics, vous pouvez toujours recueillir des informations et découvrir des opportunités à partir des analyses de votre site Web sans utiliser de cookies ni collecter de données personnelles. Vous voulez voir à quoi cela ressemble ? Consultez notre tableau de bord en direct ici. Si cela résonne en vous, n'hésitez pas à nous faire un essai.
Il n'y a pas d'autre solution.