Il faut se rendre à l'évidence : non, Google Analytics n'est pas illégal en Australie. Les récents problèmes juridiques de Google Analytics sont dus au fait que les autorités européennes ont jugé que l'utilisation de Google Analytics constituait une violation des règles du GDPR sur les transferts de données extra-européens.
Toutefois, étant donné que plusieurs États membres de l'UE ont jugé l'utilisation de Google Analytics illégale, il convient de creuser un peu plus loin et d'explorer l'évolution du paysage.
- Quelles sont les règles applicables à Google Analytics en Australie ?
- Puis-je transférer des données personnelles de l'Europe vers l'Australie ?
- Pourquoi tout ce remue-ménage autour de Google Analytics ?
- Législation sur la protection de la vie privée en Australie, en général
- Réflexions finales
Plongeons dans le vif du sujet !
Quelles sont les règles applicables à Google Analytics en Australie ?
Le GDPR ne s'applique pas à l'Australie, qui n'est pas un État membre de l'Union européenne ou de l'Espace économique européen. Cependant, les entreprises australiennes doivent se conformer au GDPR si elles ciblent le marché européen ou surveillent les comportements des utilisateurs dans l'UE**(ce qui inclut l'utilisation de Google Analytics pour un site Web ciblant un public européen**).
La loi australienne exige que les sites web informent l'utilisateur de l'utilisation de cookies. Toutefois, le consentement explicite n'est pas requis. Cela signifie que Google Analytics peut être mis en œuvre sans recueillir le consentement de l'utilisateur.
Puis-je transférer des données personnelles de l'Europe vers l'Australie ?
La Commission européenne n'a pas adopté de décision d'adéquation pour l'Australie. Cela signifie que le pays n'a pas reçu le "feu vert" en tant que destination sûre pour les transferts de données.
Les transferts de données vers l'Australie restent possibles, mais ils sont plus lourds que dans les pays couverts par une décision d'adéquation. Les transferts vers l'Australie nécessitent la mise en œuvre de l'un des mécanismes juridiques énumérés au chapitre V du GDPR (le plus courant étant les clauses contractuelles types de la Commission européenne, qui doivent être mises en œuvre dans un contrat avec le destinataire). Une analyse d'impact du transfert de données (AITD) doit également être réalisée.
Pourquoi tout ce remue-ménage autour de Google Analytics ?
La récente tendance à prendre des décisions contre Google Analytics fait partie d'un puzzle juridique plus large concernant les transferts de données entre l'EEE et les États-Unis. Ce problème ne concerne pas directement l'Australie, mais il concerne les sites web australiens qui utilisent Google Analytics, à condition qu'ils ciblent le marché et le public européens. Nous avons rédigé un article détaillé sur ce sujet sur notre blog, dont voici une version abrégée.
La question centrale est celle de la surveillance de l'État. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en toute sécurité qu'en dehors de l'EEE. Cela s'avère difficile pour les transferts de données américains, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers. Supposons qu'une entreprise australienne collecte des données personnelles d'utilisateurs dans l'UE avec Google Analytics. Dans ce cas, les données seront transférées aux États-Unis pour être traitées par Google, ce qui crée un risque que les données soient soumises à la surveillance des agences américaines.
Deux cadres de transfert de données différents (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont permis par le passé des transferts de données conformes au GDPR, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en cours d'élaboration, mais il fera sans aucun doute l'objet d'une contestation juridique. Avec un arrêt Schrems III déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.
En attendant, les entreprises doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données aux États-Unis en vertu du GDPR. Toutefois, le problème de ces outils est qu'ils n'offrent aucune protection contre la surveillance de l'État. C'est pourquoi la Cour de justice a précisé, dans l'affaire Schrems II, qu'ils devaient être complétés par des mesures supplémentaires de protection de la vie privée lorsque des données sont envoyées vers des pays "peu sûrs". Cela est difficile et totalement impossible pour les transferts requis par certains services basés sur l'informatique dématérialisée tels que Google Analytics (nous avons écrit à ce sujet ici).
Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à travailler comme d'habitude avec des fournisseurs de services basés aux États-Unis. Entre-temps, les autorités de protection des données ont coordonné leur approche des transferts de données au niveau européen. Ainsi, les autorités autrichiennes, françaises, italiennes et hongroises se sont prononcées contre l'utilisation de Google Analytics dans des décisions similaires. L'autorité danoise de protection des données a également adopté une position stricte dans un communiqué de presse. Toutes ces décisions équivalent pratiquement à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici. D'autres autorités de protection des données suivront probablement l'exemple et adopteront une position plus stricte à l'égard de Google Analytics.
Législation sur la protection de la vie privée en Australie, en général
Au niveau fédéral, la principale loi australienne en matière de protection de la vie privée est le Privacy Act de 1988. Cette loi est complétée par la législation des États et par d'autres lois réglementant des secteurs spécifiques tels que les services financiers. Le commissaire australien à l'information est l'autorité indépendante de protection des données du pays et joue un rôle important dans l'application de la législation sur la protection de la vie privée.
Il convient de noter que le droit australien ne reconnaît pas la violation de la vie privée comme un délit civil (c'est-à-dire comme une cause ou un type spécifique d'action en justice en droit privé). C'est pourquoi il peut être plus compliqué de faire respecter le droit à la vie privée en Australie que dans d'autres pays de common law tels que les États-Unis et le Royaume-Uni.
Réflexions finales
Que Google Analytics soit ou non illégal en Australie, il ne respecte certainement pas la vie privée des visiteurs de votre site web. Dans un monde où la surveillance étatique et la mauvaise conduite des monopoles sont plus apparentes que jamais, nous nous efforçons d'avoir un internet indépendant.
Avec Simple Analytics, vous pouvez toujours recueillir des informations et découvrir des opportunités à partir de l'analyse de votre site web sans utiliser de cookies ni collecter de données personnelles. Vous voulez voir à quoi cela ressemble ? Jetez un coup d'œil à notre tableau de bord en direct ici.
Si vous vous sentez concerné, essayez-nous. C'est gratuit.