Oui, Google Analytics est pratiquement illégal en Autriche. Voici pourquoi.
En 2018, l'ONG de défense de la vie privée noyb a déposé des plaintes contre trois sites web autrichiens, se plaignant que l'utilisation de Google Analytics n'est pas conforme au GDPR. La première décision de l'ORD (l'autorité autrichienne de protection des données) est intervenue en décembre 2021. L'autorité s'est rangée à l'avis de l'ONG et a pratiquement interdit Google Analytics en Autriche.
> Voici en quoi consiste la décision, en quelques mots. L'utilisation de Google Analytics nécessite que les données soient transférées aux États-Unis pour que la société mère, Google, traite les données. La décision Schrems II a rendu les transferts de données aux États-Unis plus délicats en invalidant un cadre de transfert de données entre l'UE et les États-Unis (le Privacy Shield) et en exigeant des garanties effectives pour les transferts de données. En pratique, de telles garanties ne peuvent pas être mises en œuvre pour Google Analytics.
. Pour être clair, l'ORD n'a pas déclaré Google Analytics illégal en soi. L'Autorité a simplement appliqué les règles du GDPR et de l'arrêt Schrems II et a constaté qu'un site web ne mettait pas en œuvre des garanties efficaces pour protéger les données personnelles de ses visiteurs. Techniquement, l'arrêt est une décision individuelle, et l'utilisation de Google Analytics n'a été déclarée illégale que pour un site web spécifique. Mais en pratique, aucun site web ne peut mettre en œuvre des garanties efficaces pour Google Analytics, de sorte que la décision crée un précédent qui équivaut à une interdiction à l'échelle de l'État. Les professionnels de la protection de la vie privée en sont bien conscients, et c'est la raison pour laquelle la décision a suscité une grande attention de la part des médias.
L'Autriche n'était qu'un début. Après l'ORD, trois autres autorités (la CNIL française, le GPDP italien et le NAIH hongrois) ont également décidé contre Google Analytics, et l'autorité danoise (Datatilsynet) a embrassé la même position dans un communiqué de presse. Les autorités coordonnent leur approche au niveau européen, il est donc probable que d'autres Pays suivront.
>
- Dois-je m'inquiéter du GDPR en Autriche ?
- Quelle est la législation autrichienne en matière de protection de la vie privée ?
- Que signifie toute cette agitation autour du GDPR ?
- Pensées finales
Plongeons-nous !
Dois-je m'inquiéter du GDPR en Autriche ?
L'Autriche est un État membre de l'Union européenne, de sorte que le GDPR s'applique à toutes les activités de traitement des données des entreprises autrichiennes.
L'Autriche est un État membre de l'Union européenne.
Le GDPR s'applique également à tout service ciblant le marché autrichien. En outre, si le public cible de votre site web comprend l'Autriche et que vous utilisez Google Analytics, il s'applique également à vous.
.
Mais il y a un piège - cela ne s'applique que si vous traitez des données personnelles. Les outils d'analyse respectueux de la vie privée, tels que Simple Analytics, vous permettent d'obtenir des informations précieuses sans traiter de données personnelles. Ainsi, vous n'avez pas besoin de vous conformer au GDPR car il ne s'applique pas aux données que vous traitez en premier lieu.
Quelle est la législation autrichienne en matière de protection de la vie privée ?
Le principal cadre de protection des données est le GDPR de l'Union européenne. L'Autriche dispose également de sa propre législation sur la protection de la vie privée, notamment la loi de 2000 sur la protection des données (Datenschutzgsetz). Cette législation est mise en œuvre par les tribunaux autrichiens et par l'autorité autrichienne de protection des données (l'ORD).
L'Autriche est également un pays de l'Union européenne.
L'Autriche est également soumise aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, qui protègent la vie privée et la protection des données.
En outre, l'Autriche est un État membre du Conseil de l'Europe. À ce titre, l'Autriche a ratifié la Convention européenne des droits de l'homme, qui protège la vie privée et la correspondance. L'Autriche a également ratifié la Convention 108 du Conseil de l'Europe, qui est le seul accord international contraignant sur la protection des données à ce jour.
.
Que signifie toute cette agitation autour du GDPR ?
La tendance récente des décisions contre Google Analytics fait partie d'un puzzle juridique plus large concernant les transferts de données entre l'EEE et les États-Unis. Il s'agit donc d'un sujet bien plus vaste que des pays individuels comme l'Autriche, et c'est aussi plus vaste que Google Analytics. Nous avons déjà largement écrit sur ce sujet sur notre blog, voici donc une version courte.
La question centrale est la surveillance étatique. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en toute sécurité qu'en dehors de l'EEE. Cela est difficile pour les transferts de données américaines, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers, y compris des citoyens autrichiens.
La question de la surveillance de l'État se pose également pour les transferts de données américaines.
Deux cadres de transfert de données (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont rendu possibles des transferts de données conformes au GDPR par le passé, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en route, mais il sera certainement confronté à un défi juridique. Avec un arrêt Schrems III qui se profile déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.
En attendant, les entreprises autrichiennes et les entreprises européennes, en général, doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données aux États-Unis en vertu du GDPR. Cependant, le problème de ces outils est que ils n'offrent aucune protection contre la surveillance de l'État. C'est pourquoi la Cour de justice a précisé dans l'affaire Schrems II qu'ils doivent être complétés par des mesures supplémentaires de protection de la vie privée chaque fois que des données sont envoyées vers des pays "non sûrs". Cela est difficile et tout à fait impossible pour les transferts requis par certains services basés sur le cloud, tels que Google Analytics (nous avons écrit à ce sujet ici).
La Cour de justice des Communautés européennes a rendu un arrêt dans l'affaire Schrems II.
Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à faire comme si de rien n'était avec des prestataires de services basés aux États-Unis. Entre-temps, l'ONG noyb a déposé 101 plaintes concernant des transferts de données contre des sites web européens utilisant Google Analytics et Facebook Connect afin d'inciter les autorités à appliquer plus strictement l'arrêt Schrems II.
Comme nous l'avons dit, les autorités de protection des données ont coordonné leur approche au niveau européen pour traiter les plaintes de manière cohérente. En conséquence, les Autrichiens, Français, [italien](https://gdprhub.eu/index.php ?title=Garante_per_la_protezione_dei_dati_personali_(Italian)-9782890), [hongrois](https://gdprhub.eu/index.php?title=NAIH(Hongrie)-_NAIH-3561-4/2022) et danois les APD ont pris position contre les transferts de données. Avec la coordination au niveau européen et les autorités françaises et italiennes influentes qui montrent la voie, les autres APD suivront probablement l'exemple et adopteront une position plus dure à l'égard de Google Analytics.
Pensées finales
Heureusement, il existe des alternatives à Google Analytics qui ne collectent pas de données personnelles et sont 100% conformes au GDPR. Simple Analytics est l'une d'entre elles. Nous pensons qu'il n'est pas nécessaire d'utiliser des cookies ou de collecter des données personnelles pour montrer des aperçus sur les performances de votre site Web.
Recueillir des informations exploitables et identifier les opportunités à partir des analyses de sites Web est possible sans suivre les visiteurs individuels du site Web. Vous voulez voir à quoi cela ressemble ? Jetez un coup d'œil à notre tableau de bord en direct ici.
Nous croyons qu'il faut faire d'internet un endroit plus sûr et convivial pour les visiteurs de sites web. Si cela trouve un écho chez vous, n'hésitez pas à nous faire un essai.