Google Analytics est-il illégal aux États-Unis ?

Disons-le : non, Google Analytics n'est pas illégal aux États-Unis. Les récents ennuis juridiques de Google Analytics proviennent du fait que les autorités européennes ont jugé que l'utilisation de Google Analytics constitue une violation des règles du GDPR sur les transferts de données extra-européens.

Cependant, étant donné que de multiples États membres de l'UE ont jugé l'utilisation de Google Analytics illégale, il vaut la peine de creuser davantage ici et d'explorer l'évolution du paysage.

La question est de savoir si l'utilisation de Google Analytics est illégale.

The UK Government chose Simple AnalyticsJoin them

Plongeons-nous !

Quelles règles s'appliquent à Google Analytics aux États-Unis ?

Le GDPR ne s'applique pas aux États-Unis car ils ne sont pas membres de l'Union européenne ou de l'Espace économique européen. Cependant, les entreprises américaines doivent tout de même se conformer au GDPR si elles ciblent le marché européen ou surveillent les comportements dans l'UE (cela inclut l'utilisation de Google Analytics pour un site web ciblant une audience européenne).

Les États-Unis ne disposant pas d'une loi fédérale sur la protection de la vie privée, les règles relatives aux cookies dépendent de la législation applicable dans les États. Par exemple, en vertu de la loi californienne sur la protection de la vie privée des consommateurs, les sites web doivent informer les visiteurs de l'utilisation des cookies et fournir un mécanisme de retrait.

Puis-je transférer des données personnelles de l'Europe vers les États-Unis ?

À l'heure actuelle, il n'existe pas de décision d'adéquation pour les États-Unis. En d'autres termes, la Commission européenne n'a pas " donné son feu vert " aux États-Unis en tant que pays sûr pour les transferts de données. Cela ne signifie pas que vous ne pouvez pas transférer des données personnelles vers les États-Unis, mais ce sera plus délicat que de transférer des données vers un pays de l'EEE ou un pays couvert par la décision d'adéquation. Vous devrez vous appuyer sur l'un des nombreux mécanismes du chapitre V du GDPR pour rendre votre transfert conforme au GDPR (généralement des clauses contractuelles types- CSC).

Les transferts de données américaines sont particulièrement délicats à cet égard. En 2013, les révélations d'Edward Snowden ont mis au jour des programmes de surveillance américains invasifs et à grande échelle sur des données étrangères. Cette fuite a finalement conduit la Cour de justice de l'UE à invalider deux décisions d'adéquation pour les États-Unis dans les arrêts Schrems I et II, qui ont fait date. La Cour a également précisé que les transferts de données vers les États-Unis ne sont légaux que lorsque le responsable du traitement des données met en œuvre des garanties effectives pour protéger les données à caractère personnel, en plus de tout mécanisme de conformité "de base" tel que les CSC.

La mise en œuvre de telles mesures de protection peut être relativement facile pour certains services, mais pourrait être difficile ou impossible pour d'autres. Google Analytics est l'un d'entre eux, et c'est pourquoi plusieurs organismes européens de surveillance de la vie privée l'ont effectivement interdit dans les États membres respectifs.

La mise en œuvre de ces mesures de protection peut être relativement facile pour certains services, mais peut être difficile ou impossible pour d'autres.

Tous les services basés sur le cloud qui doivent traiter des données personnelles en clair posent problème. En utilisant de tels services, vous prenez effectivement un risque de conformité. Vous pouvez envisager ce risque et évaluer les alternatives non basées aux États-Unis (en particulier les alternatives européennes puisque vous n'aurez pas besoin de vous embêter à mettre en œuvre des clauses contractuelles standard ou d'autres mécanismes du chapitre V).

Suite au récent décret du président américain Joe Biden sur la surveillance électronique, la Commission européenne a entamé la procédure d'adoption d'une décision d'adéquation. Une décision d'adéquation sera presque certainement adoptée au final, mais elle sera probablement surmontée par des contestations juridiques devant la Cour de justice. Deux décisions de ce type ont été invalidées par le passé, il est donc difficile de prédire comment se déroulera un arrêt "Schrems III".

Enfin, il convient de mentionner que certains fournisseurs américains, tels que Microsoft, assurent la localisation des données en utilisant des centres de données basés dans l'UE. La localisation peut vous aider à minimiser votre risque de conformité - mais vous devez tout de même évaluer soigneusement leur gouvernance des données et déterminer si, et dans quelles conditions, des transferts de données vers les États-Unis peuvent avoir lieu dans le cadre de la fourniture du service.

Que signifie toute cette agitation autour de Google Analytics ?

Le casse-tête juridique autour des transferts de données aux États-Unis a des conséquences importantes pour l'utilisation de Google Analytics et a conduit à des décisions importantes dans plusieurs pays. Nous avons longuement écrit à ce sujet sur notre blog, voici donc l'histoire en quelques mots.

Comme nous l'avons dit, l'arrêt Schrems II de 2020 a rendu les transferts de données entre l'UE et les États-Unis beaucoup plus difficiles. Quoi qu'il en soit, la plupart des entreprises ont continué à faire des affaires comme d'habitude avec des fournisseurs de services basés aux États-Unis. Dans le même temps, l'ONG de protection de la vie privée noyb a déposé 101 plaintes contre Google Analytics et Facebook connect dans un effort stratégique pour inciter les chiens de garde européens de la vie privée à une application plus stricte de l'arrêt Schrems II.

Les autorités de protection des données ont coordonné leur approche des plaintes au niveau européen. En conséquence, les Autrichiens, Français, Italien, et Hongrois Les APD se sont prononcées contre l'utilisation de Google Analytics dans des décisions similaires. L'APD danoise a également adopté une position stricte dans un << href="https://www.datatilsynet.dk/english/google-analytics/use-of-google-analytics-for-web-analytics">communiqué de presse. Toutes les décisions reviennent à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici.

Avec la coordination au niveau européen et les influentes APD françaises et italiennes qui montrent la voie, d'autres autorités suivront probablement l'exemple et adopteront une position plus dure sur Google Analytics- et les transferts de données en général.

La législation sur la protection de la vie privée aux États-Unis, en général

Les États-Unis n'ont pas de loi fédérale sur la vie privée, mais le Congrès américain discute d'un projet de loi fédérale sur la vie privée (la loi américaine sur la protection et la confidentialité des données). En outre, cinq États ont adopté leur propre législation en matière de protection de la vie privée (Californie, Virginie, Colorado, Connecticut et Utah).

Les États-Unis ne disposent pas d'une agence de niveau fédéral pour faire appliquer la réglementation en matière de protection de la vie privée, bien que la Federal Trade Commission tente parfois de combler ce vide dans la pratique.

Pensées finales

Que Google Analytics soit illégal ou non aux États-Unis, il n'est certainement pas respectueux de la vie privée des visiteurs de votre site web. Dans un monde où la surveillance de l'État et la mauvaise conduite monopolistique sont plus apparentes que jamais, nous nous efforçons d'obtenir un Internet indépendant.

Avec Simple Analytics, vous pouvez toujours recueillir des informations et découvrir des opportunités à partir des analyses de votre site web sans utiliser de cookies ni collecter de données personnelles. Vous voulez voir à quoi cela ressemble ? Jetez un œil à notre tableau de bord en direct ici.