L'ONG de défense de la vie privée noyb a déposé deux plaintes contre des sites web portugais, estimant que l'utilisation de Google Analytics n'est pas conforme au GDPR.
.
Les plaintes n'ont pas encore fait l'objet d'une décision. Cependant, quatre autorités européennes de protection des données se sont déjà prononcées contre l'utilisation de Google Analytics dans le cadre de plaintes similaires déposées par noyb et une autre (le Datatilsynet danois) a pratiquement interdit Google Analytics au Danemark dans un communiqué de presse. Ces autorités suivent une approche coordonnée, de sorte que d'autres pays de l'EEE et de l'UE, tels que le Portugal, pourraient suivre.
- Dois-je m'inquiéter du GDPR au Portugal ?
- Quelle est la législation portugaise en matière de protection de la vie privée ?
- Que signifie toute cette agitation autour du GDPR ?
- Pensées finales
Permettons-nous de plonger dedans !
Dois-je m'inquiéter du GDPR au Portugal ?
Le Portugal est un État membre de l'Union européenne, de sorte que le GDPR s'applique à toutes les activités de traitement des données des entreprises portugaises.
Le GDPR s'applique également à toutes les activités de traitement des données des entreprises portugaises.
Le GDPR s'applique également à tout service ciblant le marché portugais. En outre, si le public cible de votre site Web comprend le Portugal et que vous utilisez Google Analytics, il s'applique également à vous.
.
Mais il y a un piège - cela ne s'applique que si vous traitez des données personnelles. Les outils d'analyse respectueux de la vie privée, tels que Simple Analytics, vous permettent d'obtenir des informations précieuses sans traiter de données personnelles. De cette façon, vous vous conformez au GDPR car il ne s'applique pas aux données que vous traitez en premier lieu.
Quelle est la législation portugaise en matière de protection de la vie privée ?
Le principal cadre de protection des données est le GDPR de l'Union européenne. Cette législation est appliquée par les tribunaux portugais et par l'autorité portugaise de protection des données, la CNPD. Le Portugal est également soumis aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, qui protègent la vie privée et accordent un droit à la protection des données.
En outre, le Portugal est un État membre du Conseil de l'Europe. À ce titre, le Portugal a ratifié la Convention européenne des droits de l'homme, qui protège la vie privée et la correspondance. Le Portugal a également ratifié la Convention 108 du Conseil de l'Europe, qui est le seul accord international contraignant en matière de protection des données.
.
Que signifie toute cette agitation autour du GDPR ?
La tendance récente des décisions contre Google Analytics fait partie d'un puzzle juridique plus large sur les transferts de données entre l'EEE et les États-Unis. C'est donc beaucoup plus vaste que des pays individuels comme le Portugal, et c'est aussi plus vaste que Google Analytics. Nous avons déjà largement écrit à ce sujet sur notre blog, voici donc une version courte.
La question centrale est la surveillance étatique. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en dehors de l'EEE que si cela est fait en toute sécurité. Cela est difficile pour les transferts de données américaines, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers, y compris des citoyens portugais.
La question de la surveillance de l'État est une question de sécurité.
Deux cadres de transfert de données (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont rendu possibles des transferts de données conformes au GDPR par le passé, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en route, mais il sera certainement confronté à un défi juridique. Avec un arrêt Schrems III qui se profile déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.
La Cour de justice de l'Union européenne a rendu son arrêt dans l'affaire Schrems III.
En attendant, les entreprises portugaises et les entreprises européennes, en général, doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données aux États-Unis en vertu du GDPR. Cependant, le problème de ces outils est que ils n'offrent aucune protection contre la surveillance de l'État. C'est pourquoi la Cour de justice a précisé dans l'affaire Schrems II qu'ils doivent être complétés par des mesures supplémentaires de protection de la vie privée chaque fois que des données sont envoyées vers des pays "non sûrs". Cela est difficile et tout à fait impossible pour les transferts requis par certains services basés sur le cloud, tels que Google Analytics (nous avons écrit à ce sujet ici).
La Cour de justice des Communautés européennes a rendu un arrêt dans l'affaire Schrems II.
Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à faire comme si de rien n'était avec des prestataires de services basés aux États-Unis. Entre-temps, l'ONG noyb a déposé 101 plaintes concernant des transferts de données contre des sites web européens utilisant Google Analytics et Facebook Connect afin d'inciter les autorités à appliquer plus strictement l'arrêt Schrems II.
Les autorités de protection des données ont coordonné leur approche au niveau européen pour traiter les plaintes de manière cohérente. En conséquence, les Autrichiens, Français, Italiens, et Hongrois Les APD se sont prononcées contre l'utilisation de Google Analytics dans des décisions très similaires, et l'APD danoise a essentiellement fait de même dans un communiqué de presse. Bien que les décisions concernent un contrôleur individuel, elles créent toutes un précédent qui pratiquement équivaut à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici. Si le CNPD faisait de même, sa décision créerait un précédent similaire pour le Portugal.
La coordination entre les autorités portugaises et les autorités nationales est un élément essentiel de la coordination.
Avec la coordination au niveau européen et les autorités françaises et italiennes influentes qui montrent la voie, d'autres APD vont probablement suivre l'exemple et adopter une position plus dure sur Google Analytics.
Pensées finales
Heureusement, il existe des alternatives à Google Analytics qui ne collectent pas de données personnelles et sont 100% conformes au GDPR. Simple Analytics est l'une d'entre elles. Nous pensons qu'il n'est pas nécessaire d'utiliser des cookies ou de collecter des données personnelles pour montrer des aperçus sur les performances de votre site Web.
Recueillir des informations exploitables et identifier les opportunités à partir des analyses de sites Web est possible sans suivre les visiteurs individuels du site Web. Vous voulez voir à quoi cela ressemble ? Jetez un coup d'œil à notre tableau de bord en direct ici.
Nous croyons qu'il faut faire d'internet un endroit plus sûr et convivial pour les visiteurs de sites web. Si cela trouve un écho chez vous, n'hésitez pas à nous faire un essai.