Google Analytics est-il illégal au Royaume-Uni ?

Image of Carlo Cilento

Publié le 3 févr. 2023 et modifié le 15 août 2023 par Carlo Cilento

Il faut se rendre à l'évidence : non, Google Analytics n'est pas illégal au Royaume-Uni. Les récents problèmes juridiques de Google Analytics sont dus au fait que les autorités européennes ont jugé que l'utilisation de Google Analytics constituait une violation des règles du GDPR sur les transferts de données extra-européens. Le Royaume-Uni n'est pas concerné, car il n'est plus un État membre de l'Union européenne ou de l'Espace économique européen.

Toutefois, étant donné que plusieurs États membres de l'UE ont jugé l'utilisation de Google Analytics illégale, il convient de creuser un peu plus la question et d'explorer l'évolution du paysage.

  1. Quelles sont les règles applicables à Google Analytics au Royaume-Uni ?
  2. Puis-je transférer des données personnelles de l'Europe vers le Royaume-Uni ?
  3. Pourquoi toute cette agitation autour de Google Analytics ?
  4. Législation sur la protection de la vie privée au Royaume-Uni, en général
  5. Réflexions finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Plongeons dans le vif du sujet !

Quelles sont les règles applicables à Google Analytics au Royaume-Uni ?

Les règles relatives aux cookies sont exactement les mêmes que celles de l'UE et sont très strictes. En vertu du règlement relatif à la protection de la vie privée et aux communications électroniques (PECR), les cookies requièrent toujours le consentement explicite de l'utilisateur, à l'exception d'un nombre très limité de cas qui ne couvrent pas les cookies de marketing et d'analyse du web. Google Analytics requiert donc le consentement de l'utilisateur au Royaume-Uni, comme c'est le cas dans l'Union européenne.

Puis-je transférer des données personnelles de l'Europe vers le Royaume-Uni ?

La Commission européenne a adopté une décision d'adéquation pour le Royaume-Uni en 2021, déclarant essentiellement que le pays est une destination sûre pour les transferts de données. Grâce à cette décision, les transferts de données vers une entreprise du Royaume-Uni sont traités de la même manière que, par exemple, les transferts vers une entreprise slovène ou néerlandaise. Vous pouvez donc transférer des données de cette manière sans les contraintes de conformité qui accompagnent généralement les transferts de données extracommunautaires.

Veuillez noter que la Commission réexamine périodiquement les décisions d'adéquation. Si vous comptez vous appuyer sur une décision d'adéquation, assurez-vous qu'elle est toujours valable.

Pourquoi toute cette agitation autour de Google Analytics ?

La récente tendance à prendre des décisions contre Google Analytics fait partie d'un puzzle juridique plus large concernant les transferts de données entre l'EEE et les États-Unis. Le Royaume-Uni n'est pas directement concerné, mais les sites web britanniques qui utilisent Google Analytics sont concernés, à condition qu'ils ciblent le marché et le public européens. Nous avons longuement écrit sur ce sujet sur notre blog, en voici donc une version courte.

La question centrale est celle de la surveillance de l'État. En vertu du GDPR, les données personnelles européennes ne peuvent être transférées en toute sécurité qu'en dehors de l'EEE. Cela s'avère difficile pour les transferts de données américains, car le cadre juridique américain permet une surveillance étendue et invasive des données des citoyens étrangers. Supposons qu'une entreprise britannique collecte des données personnelles d'utilisateurs dans l'UE avec Google Analytics. Dans ce cas, les données seront transférées aux États-Unis pour être traitées par Google, ce qui crée un risque que les données soient soumises à la surveillance des agences américaines.

Deux cadres différents de transfert de données (Safe Harbor et Privacy Shield) entre l'UE et les États-Unis ont permis par le passé des transferts de données conformes au GDPR, mais ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les affaires Schrems I et II. Un troisième cadre est en cours d'élaboration, mais il fera sans aucun doute l'objet d'une contestation juridique. Avec un arrêt Schrems III déjà à l'horizon, l'avenir des flux de données entre l'UE et les États-Unis reste incertain.

En attendant, les entreprises doivent recourir à différents outils juridiques (généralement des clauses contractuelles types) pour transférer légalement des données aux États-Unis en vertu du GDPR. Toutefois, le problème de ces outils est qu'ils **n'**offrent aucune protection contre la surveillance de l'État. C'est pourquoi la Cour de justice a précisé, dans l'affaire Schrems II, qu'ils devaient être complétés par des mesures supplémentaires de protection de la vie privée lorsque des données sont envoyées vers des pays "peu sûrs". Cela est difficile et totalement impossible pour les transferts requis par certains services basés sur l'informatique dématérialisée tels que Google Analytics (nous avons écrit à ce sujet ici).

Après l'arrêt Schrems II en 2020, la plupart des entreprises ont continué à travailler comme d'habitude avec des fournisseurs de services basés aux États-Unis. Entre-temps, les autorités de protection des données ont coordonné leur approche des transferts de données au niveau européen. Ainsi, les autorités autrichiennes, françaises, italiennes et hongroises se sont prononcées contre l'utilisation de Google Analytics dans des décisions similaires. L'autorité danoise de protection des données a également adopté une position stricte dans un communiqué de presse. Toutes ces décisions équivalent pratiquement à une interdiction à l'échelle de l'État, comme nous l'avons expliqué ici. D'autres autorités de protection des données suivront probablement l'exemple et adopteront une position plus stricte à l'égard de Google Analytics.

Législation sur la protection de la vie privée au Royaume-Uni, en général

Le Royaume-Uni n'est plus un État membre de l'UE. Toutefois, le GDPR et le PECR (qui met en œuvre la directive "vie privée et communications électroniques") sont toujours en vigueur. Par conséquent, le cadre de protection des données du Royaume-Uni est presque identique à celui de l'Union européenne.

L'Information Commissioner's Office (ICO) est l'autorité chargée de la protection des données au Royaume-Uni et exerce des pouvoirs similaires à ceux de ses homologues européens. Le commissaire actuel est le Néo-Zélandais John Edwards.

(Par ailleurs, le site web de l'ICO est une excellente source d'informations sur la législation en matière de protection de la vie privée, avec de nombreuses explications précises, détaillées et accessibles, dont la plupart s'appliquent également au GDPR et à la législation de l'UE en matière de protection des données).

Réflexions finales

Que Google Analytics soit ou non illégal au Royaume-Uni, il n'est certainement pas respectueux de la vie privée des visiteurs de votre site web. Dans un monde où la surveillance étatique et la mauvaise conduite des monopoles sont plus apparentes que jamais, nous nous efforçons d'avoir un internet indépendant.

Avec Simple Analytics, vous pouvez toujours recueillir des informations et découvrir des opportunités à partir de l'analyse de votre site web sans utiliser de cookies ni collecter de données personnelles. Vous voulez voir à quoi cela ressemble ? Jetez un coup d'œil à notre tableau de bord en direct ici.

Si vous vous sentez concerné, essayez-nous. C'est gratuit.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours