Google Analytics est-il illégal aux Pays-Bas ?

Image of Iron Brands

Publié le 13 janv. 2023 et modifié le 17 janv. 2024 par Iron Brands

Cet article est traduit automatiquement. Passer à la version anglaise pour l'original.

L'ONG de protection de la vie privée noyb a déposé des plaintes contre quatre sites web néerlandais, estimant que Google Analytics n'est pas conforme au GDPR.

Les plaintes n'ont pas encore fait l'objet d'une décision. Cependant, quatre autorités européennes de protection des données se sont déjà prononcées contre l'utilisation de Google Analytics dans le cadre de plaintes similaires déposées par noyb et une autre (le Datatilsynet danois) a pratiquement interdit Google Analytics au Danemark dans un communiqué de presse. Ces autorités suivent une approche coordonnée, de sorte que d'autres pays de l'EEE et de l'UE, comme les Pays-Bas, peuvent suivre.

En outre, l'Autoriteit Persoonsgegevens a annoncé dans un communiqué de presse de janvier 2022 (uniquement en néerlandais) qu'elle enquêtait sur l'utilisation de Google Analytics, nous pouvons donc nous attendre à une décision à un moment donné.

  1. Dois-je m'inquiéter du GDPR aux Pays-Bas ?
  2. Quelle est la législation néerlandaise en matière de protection de la vie privée ?
  3. Que signifie toute cette agitation autour du GDPR ?
  4. Pensées finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Permettons-nous de plonger dedans !

Dois-je m'inquiéter du GDPR aux Pays-Bas ?

Les Pays-Bas sont un État membre de l'Union européenne, de sorte que le GDPR s'applique à toutes les activités de traitement des données des entreprises néerlandaises.

Les Pays-Bas sont un État membre de l'Union européenne.

Le GDPR s'applique également à tout service ciblant le marché néerlandais. En outre, si le public cible de votre site Web comprend les Pays-Bas et que vous utilisez Google Analytics, il s'applique également à vous.

Mais il y a un piège - cela ne s'applique que si vous traitez des données personnelles. Les outils d'analyse respectueux de la vie privée, tels que Simple Analytics, vous permettent d'obtenir des informations précieuses sans traiter de données personnelles. De cette façon, vous doivent se conformer au GDPR parce qu'il ne s'applique pas aux données que vous traitez en premier lieu.

.

Quelle est la législation néerlandaise en matière de protection de la vie privée ?

A part le GDPR, les Pays-Bas ont leur propre législation sur la protection de la vie privée, qui comprend la loi néerlandaise de mise en œuvre du GDPR. La législation sur la protection de la vie privée est appliquée par la DPA (Autoriteit Persoonsgegevens) néerlandaise.

Les Pays-Bas sont également soumis aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, qui protègent la vie privée et accordent un droit à la protection des données à caractère personnel.

Les Pays-Bas sont également un État membre du Conseil de l'Europe. À ce titre, les Pays-Bas ont ratifié la Convention européenne des droits de l'homme, qui protège la vie privée et la correspondance. Les Pays-Bas ont également ratifié la Convention 108 du Conseil de l'Europe, qui est le seul accord international contraignant en matière de protection des données.

.

Que signifie toute cette agitation autour du GDPR ?

La tendance récente des décisions contre Google Analytics fait partie d'un puzzle juridique plus large sur les transferts de données entre l'EEE et les États-Unis. Il s'agit donc d'un sujet bien plus vaste que des pays individuels tels que les Pays-Bas, et c'est aussi plus vaste que Google Analytics. Nous avons déjà largement écrit à ce sujet sur notre blog, alors voici une version courte.

La question centrale est la surveillance étatique. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en toute sécurité qu'en dehors de l'EEE. Cela est difficile pour les transferts de données américaines, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers, y compris des citoyens néerlandais.

La question de la surveillance de l'État se pose également pour les transferts de données américaines.

Deux cadres de transfert de données (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont rendu possibles des transferts de données conformes au GDPR par le passé, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en route, mais il sera certainement confronté à un défi juridique. Avec un arrêt Schrems III déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.

>

En attendant, les entreprises néerlandaises doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données vers les États-Unis en vertu du GDPR. Cependant, le problème de ces outils est que ils n'offrent aucune protection contre la surveillance de l'État. C'est pourquoi l'arrêt Schrem II a précisé qu'ils doivent être complétés par des mesures supplémentaires de protection de la vie privée chaque fois que des données sont envoyées vers des pays "non sûrs", dont les États-Unis. Cela est difficile et tout à fait impossible pour les transferts requis par certains services basés sur le cloud, tels que Google Analytics (nous avons écrit à ce sujet ici).

La décision Schreme II a été rendue par la Cour européenne des droits de l'homme.

Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à faire comme si de rien n'était avec des prestataires de services basés aux États-Unis. Entre-temps, l'ONG noyb a déposé 101 plaintes concernant des transferts de données contre des sites web européens utilisant Google Analytics et Facebook Connect afin d'inciter les autorités à appliquer plus strictement l'arrêt Schrems II.

Les autorités de protection des données ont coordonné leur approche au niveau européen pour traiter les plaintes de manière cohérente. En conséquence, les Autrichiens, Français, Italiens, et Hongrois Les APD se sont prononcées contre l'utilisation de Google Analytics dans des décisions très similaires, et l'APD danoise a essentiellement fait de même dans un communiqué de presse. Bien que les décisions concernent un contrôleur individuel, elles créent toutes un précédent qui pratiquement équivaut à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici. La décision annoncée de l'Autoriteit Persoonsgegevens pourrait créer un précédent similaire pour les Pays-Bas.

Avec une coordination au niveau européen et les influentes autorités françaises et italiennes qui montrent la voie, d'autres APD vont probablement suivre l'exemple et adopter une position plus dure à l'égard de Google Analytics.

Pensées finales

Heureusement, il existe des alternatives à Google Analytics qui ne collectent pas de données personnelles et sont 100% conformes au GDPR. Simple Analytics est l'une d'entre elles. Nous pensons qu'il n'est pas nécessaire d'utiliser des cookies ou de collecter des données personnelles pour montrer des aperçus sur les performances de votre site Web.

Recueillir des informations exploitables et identifier les opportunités à partir des analyses de sites Web est possible sans suivre les visiteurs individuels du site Web. Vous voulez voir à quoi cela ressemble ? Jetez un coup d'œil à notre tableau de bord en direct ici.

Nous croyons qu'il faut faire d'internet un endroit plus sûr et convivial pour les visiteurs de sites web. Si cela résonne avec vous, n'hésitez pas à nous faire un essai

.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours