L'ONG de protection de la vie privée noyb a déposé des plaintes contre trois sites internet irlandais, estimant que l'utilisation de Google Analytics n'est pas conforme au GDPR.
.
Les plaintes n'ont pas encore été tranchées. Cependant, quatre autorités européennes de protection des données se sont déjà prononcées contre l'utilisation de Google Analytics dans le cadre de plaintes similaires déposées par noyb et une autre (le Datatilsynet danois) a pratiquement interdit Google Analytics au Danemark dans un communiqué de presse. Ces autorités suivent une approche coordonnée, de sorte que d'autres pays de l'EEE et de l'UE, comme l'Irlande, pourraient suivre.
> En outre, l'autorité irlandaise de protection des données (DPC) a rédigé une décision d'interruption des transferts de données pour Meta et l'a soumise au Conseil européen de la protection des données en octobre 2022. Les questions centrales de l'affaire sont essentiellement les mêmes que celles impliquées dans les plaintes de noyb contre Google Analytics. Si le Conseil devait entériner la décision du CPD, l'affaire créerait un précédent important au niveau européen, et plus encore en Irlande. Un tel précédent aurait des conséquences considérables pour l'ensemble de l'UE, car de nombreux géants multinationaux de la technologie ont des sièges ou des filiales européennes en République d'Irlande.
.
- Dois-je m'inquiéter du GDPR en Irlande ?
- Quelle est la législation irlandaise en matière de protection de la vie privée ?
- Que signifie toute cette agitation autour du GDPR ?
Permettons-nous de plonger dedans !
Dois-je m'inquiéter du GDPR en Irlande ?
La République d'Irlande est un État membre de l'Union européenne, le GDPR s'applique donc à toutes les activités de traitement des données des entreprises irlandaises.
La République d'Irlande est un État membre de l'Union européenne.
Le GDPR s'applique également à tout service ciblant le marché irlandais. En outre, si le public cible de votre site Web comprend l'Irlande et que vous utilisez Google Analytics, il s'applique également à vous.
.
Mais il y a un piège - cela ne s'applique que si vous traitez des données personnelles. Les outils d'analyse respectueux de la vie privée, tels que Simple Analytics, vous permettent d'obtenir des informations précieuses sans traiter de données personnelles. Ainsi, vous n'avez pas besoin de vous conformer au GDPR car il ne s'applique pas aux données que vous traitez en premier lieu.
Quelle est la législation irlandaise en matière de protection de la vie privée ?
Le principal cadre de protection des données est le GDPR de l'Union européenne. La République dispose également de sa propre législation sur la protection de la vie privée, notamment la loi sur la protection des données de 2018, qui met en œuvre le GDPR. La Commission de protection des données et les tribunaux irlandais font appliquer cette législation.
La République d'Irlande est un État membre de l'Union européenne.
La République d'Irlande est également soumise aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, qui protège la vie privée et la protection des données.
La République d'Irlande est également un État membre du Conseil de l'Europe. À ce titre, la République a ratifié la Convention européenne des droits de l'homme, qui protège la vie privée et la correspondance. L'Irlande a également ratifié la Convention 108 du Conseil de l'Europe, qui est le seul accord international contraignant en matière de protection des données à ce jour.
.
Que signifie toute cette agitation autour du GDPR ?
La tendance récente des décisions contre Google Analytics fait partie d'un puzzle juridique plus large concernant les transferts de données entre l'EEE et les États-Unis. Il s'agit donc d'un sujet bien plus vaste que des pays individuels tels que la République d'Irlande, et c'est aussi plus vaste que Google Analytics. Nous avons déjà largement écrit à ce sujet sur notre blog, voici donc une version courte.
La question centrale est la surveillance étatique. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en dehors de l'EEE que si cela est fait en toute sécurité. Cela est difficile pour les transferts de données américaines, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers, y compris des citoyens [irlandais].
La question de la surveillance de l'État est au cœur du problème.
Deux cadres de transfert de données (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont rendu possibles des transferts de données conformes au GDPR par le passé, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en route, mais il sera certainement confronté à un défi juridique. Avec un arrêt Schrems III déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.
>
En attendant, les entreprises irlandaises et les entreprises européennes en général doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données aux États-Unis en vertu du GDPR. Cependant, le problème de ces outils est que ils n'offrent aucune protection contre la surveillance de l'État. C'est pourquoi la Cour de justice a précisé dans l'affaire Schrems II qu'ils doivent être complétés par des mesures supplémentaires de protection de la vie privée chaque fois que des données sont envoyées vers des pays "non sûrs". Cela est difficile et tout à fait impossible pour les transferts requis par certains services basés sur le cloud, tels que Google Analytics (nous avons écrit à ce sujet ici).
La Cour de justice des Communautés européennes a rendu un arrêt dans l'affaire Schrems II.
Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à faire comme si de rien n'était avec des prestataires de services basés aux États-Unis. Entre-temps, l'ONG noyb a déposé 101 plaintes concernant des transferts de données contre des sites web européens utilisant Google Analytics et Facebook Connect afin d'inciter les autorités à appliquer plus strictement l'arrêt Schrems II.
Les autorités de protection des données ont coordonné leur approche au niveau européen pour traiter les plaintes de manière cohérente. En conséquence, les Autrichiens, Français, Italiens, et Hongrois Les APD se sont prononcées contre l'utilisation de Google Analytics dans des décisions très similaires, et l'APD danoise a essentiellement fait de même dans un communiqué de presse. Bien que les décisions concernent un contrôleur individuel, elles créent toutes un précédent qui pratiquement équivaut à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici. Si la DPC fait de même, sa décision créerait un précédent similaire pour l'Irlande. Il en sera probablement de même si l'EDPB approuve le projet de décision du DPC à l'encontre de Meta.
> ## Pensées finales
Heureusement, il existe des alternatives à Google Analytics qui ne collectent pas de données personnelles et sont 100% conformes au GDPR. Simple Analytics est l'une d'entre elles. Nous pensons qu'il n'est pas nécessaire d'utiliser des cookies ou de collecter des données personnelles pour afficher des aperçus des performances de votre site Web.
Sans suivre les visiteurs individuels du site Web, il est possible de recueillir des informations exploitables et d'identifier des opportunités à partir des analyses de sites Web. Vous voulez voir à quoi cela ressemble ? Jetez un coup d'œil à notre tableau de bord en direct ici.
Nous croyons qu'il faut faire d'internet un endroit plus sûr et convivial pour les visiteurs de sites web. Si cela trouve un écho chez vous, n'hésitez pas à nous faire un essai.