L'autorité autrichienne de protection des données (DPA) a décidé que l'utilisation de Google Analytics violait le règlement général sur la protection des données (RGPD). Les régulateurs européens, amenés à coopérer au sein d’un groupe de travail du Conseil européen de la protection des données, pourraient lui emboîter le pas et faire passer le message aux gouvernements. Cette décision intervient alors que plusieurs plaintes ont été déposées par l'ONG autrichienne noyb à la suite de l'arrêt « Schrems II » de la Cour de justice de l’Union européenne.

L’ONG a en effet déposé « 101 plaintes dans presque tous les États membres et les autorités ont coordonné la réponse. Une décision similaire a également été rendue par le Contrôleur européen de la protection des données la semaine dernière ». Pour rappel, la CJUE a jugé que l'accord de transfert de données entre les États-Unis et l'UE « Privacy Shield » n'était pas conforme à la législation européenne sur la protection des données et a annulé l'accord en 2020, ce qui a rendu illégaux la plupart des transferts de données vers les États-Unis.

Google récupère toujours les données d’utilisateurs de l’UE

Cependant, Google a partiellement ignoré cette décision, tout en admettant que « toutes les données collectées par Analytics [...] sont hébergées (c'est-à-dire stockées et traitées ultérieurement) aux États-Unis », les utilisateurs européens étant également touchés par cette collecte de données. A ce jour, de nombreuses entreprises au sein de l’UE utilisent Google Analytics, transmettant de facto leurs données récoltées à Google. En conséquence, ces dernières sont traitées aux États-Unis, malgré le caractère illégal de ce transfert.

Aujourd’hui, l'autorité autrichienne de protection des données a statué que ce comportement constitue une violation du droit européen. Max Schrems, président honoraire de noyb.eu a ainsi déclaré qu’ « au lieu d'adapter réellement leurs services pour être conformes au RGPD, les entreprises américaines ont essayé de simplement ajouter un texte à leurs politiques de confidentialité et d'ignorer la décision de la Cour de justice. De nombreuses entreprises européennes ont suivi le mouvement au lieu de se tourner vers des options légales ». Il ajoute que « les entreprises ne peuvent plus utiliser les services cloud américains en Europe. Cela fait maintenant un an et demi que la Cour de justice l'a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée ».

Réfléchir à des solutions à long terme

À long terme, il semble y avoir deux options : soit les États-Unis adaptent sa réglementation, soit les fournisseurs américains devront héberger les données étrangères en dehors des États-Unis. Actuellement, le RGPD stipule que les données, si elles sont amenées à circuler en dehors de l’UE, doivent être protégées de la même manière qu’elles le sont au sein de l’UE. Or, lorsque ces données sont transférées et traitées aux Etats-Unis, elles tombent sous la loi américaine sur la surveillance qui n’accorde aux étrangers aucun droit sur la façon dont leurs données sont récupérées et analysées. Les données européennes n’ont donc pas le niveau de protection équivalent à celui qu’elles ont au sein de l’Union européenne.

Pour l’instant, aucune sanction n’a été prononcée car la décision de la DPA est considérée comme une « procédure d'exécution publique », où le plaignant n'est pas entendu. Elle met l’accent sur les mesures supplémentaires pour être en conformité avec les lois européennes. La DPA autrichienne a également déclaré qu'elle enquêterait plus en avant sur les violations potentielles des articles 5, 28 et 29 du RGPD (liées à la question de savoir si Google est autorisé à fournir des données personnelles au gouvernement américain sans ordre explicite de l'exportateur de données de l'UE). A noter que le RGPD prévoit des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial dans de tels cas.

Mise à jour du 14 janvier 2022
Un porte-parole de Google nous a transmis ce message : « Google Analytics aide les commerçants, les gouvernements, les ONG et de nombreuses autres organisations à comprendre à quel point leurs sites et applications fonctionnent pour leurs visiteurs - mais sans identifier des individus ou en les suivant sur le Web. Ce sont ces organisations, et non Google, qui contrôlent les données collectées avec les outils analytics et la manière dont elles sont utilisées ».