Google Analytics et autres outils américains en infraction avec le RGPD : que faire ?

Google Analytics et autres outils américains en infraction avec le RGPD : que faire ?

14 janvier 2022

Non seulement Google Analytics, mais par extension tous les outils américains, sont sous pression en raison de deux décisions des autorités européennes de protection des données. La protection de la vie privée aux États-Unis est insuffisante, ce qui implique que les organisations et les entreprises européennes qui l'utilisent pourraient être condamnées. Des entreprises belges font également l'objet d'une enquête pour leur utilisation de Google Analytics ou de Facebook Connect. Néanmoins, l'utilisation des données des sites web reste nécessaire et possible pour les entreprises. Dans cet article, nous expliquons la situation et quel impact elle a pour vous en tant qu'entreprise.

2022 sera-t-elle l'année où les cloud tools américains devront s'adapter aux règles de l'UE ou de quitter l'UE ?

Cela ne se passera pas aussi vite, mais deux verdicts en une seule semaine vont créer une tension supplémentaire. Le Contrôleur européen de la protection des données (CEPD) a condamné le Parlement européen pour l'utilisation de Google Analytics et du fournisseur de paiement Stripe. L'autorité autrichienne de protection des données (APD) a condamné un site web pour avoir utilisé Google Analytics.

Les tensions entre les États-Unis et l'Union européenne concernant les transferts de données ne datent pas d'hier. L'accord Safe Harbor et le Privacy Shield en tant que base juridique pour les transferts de données entre l'UE et les États-Unis ont été enterrés depuis longtemps. Après l'arrêt Shrems II, dans lequel la Cour de justice des Communautés européennes a jugé que les transferts de données de l'UE vers les États-Unis violaient le RGPD, les entreprises américaines se sont appuyées sur les clauses contractuelles types.

Des garanties sur papier insuffisantes

L'autorité autrichienne de protection des données (DPA) estime toutefois que les "mesures techniques et organisationnelles" (TOM) que le RGPD impose aux propriétaires de sites web n'offrent pas une protection suffisante lorsque Google Analytics est utilisé. Les données des citoyens européens peuvent être consultées par les services de renseignement américains. Comme il s'agit des adresses IP, de l'identifiant de l'utilisateur et des paramètres du navigateur, la DPA autrichienne a estimé que cela suffisait pour condamner le propriétaire du site web.

Plus tôt, le CEPD a également statué que ces TOMs n'offraient pas un niveau équivalent de protection de la vie privée pour permettre les transferts de données vers les Etats-Unis. La DPA autrichienne agit donc conformément à l'autorité européenne

Selon le groupe de campagne pour la protection de la vie privée noyb (European Center for Digital Rights), dont Max Schrems est le président honoraire, cette décision signifie que le simple placement d'un cookie par un fournisseur américain suffit à violer la réglementation européenne. noyb a lancé 101 plaintes en août 2020 contre des entreprises de l'UE qui utilisent Google Analytics ou Facebook Connect. En Belgique, il s'agit de Neckermann, bpost, Logic-Immo et Flair (Roularta Media Group). Dans les pays voisins, les entreprises concernées sont entre autres Takeaway.com, Marktplaats, Post.nl, Auchan et Decathlon.

Continuer à danser sur une corde raide ?

Ces dernières années, de nombreuses entreprises ont investi dans la mise en place et l'optimisation de l'analyse de leur site web, principalement par le biais des services de Google. Ces données sont vitales pour les entreprises numériques, et notamment pour le commerce électronique. C'est pourquoi la FeWeb, en collaboration avec d'autres associations professionnelles et sous la direction de Sirius Legal, s'est efforcée de supprimer l'opt-in explicite pour les cookies statistiques et analytiques, tout comme dans les pays voisins.

  • En France, la CNIL a fait une exception au consentement explicite pour les cookies statistiques ou analytiques dans certaines conditions et a développé un manuel par outil analytique.
  • Les Pays-Bas l'ont joué finement : lors de la transposition du RGPD dans leur loi nationale sur les télécommunications, ils ont ajouté une sous-phrase à l'article concernant le placement des cookies. Ainsi, le consentement explicite n'est pas requis pour les cookies statistiques ou analytiques "n'ayant pas ou peu d'impact sur la vie privée des visiteurs de votre site web". Un manuel explique comment configurer Google Analytics conformément à la loi néerlandaise sur la protection des données. Bien qu'ils n'y croient plus depuis le 13 janvier 2022...

AP Google Analytics

  • Enfin, le DPA de Belgique a refusé de suivre l'exemple français et s'est adressé au ministre de la Justice. Là, la loi sur les télécommunications pourrait être adaptée à l'exemple néerlandais. Mais hélas, fin 2021, le parlement belge a voté une série d'ajustements, mais celui des cookies statistiques et analytiques n'en faisait pas partie. Depuis 2020, l'interprétation de la APD belge est valable, c'est-à-dire le consentement explicite pour les cookies analytiques et statistiques est requis.

Ce qui est certain, c'est que le RGPD, en tant que "règlement" (une réglementation ne peut pas varier d'un État membre à l'autre, par opposition à une directive), n'a pas créé des conditions de concurrence équitables en Europe. Non seulement parce qu'ici et là la législation nationale a été adaptée, mais surtout parce que les APD nationales imposent chacune leur interprétation du RDPD au monde des affaires sous peine de lourdes amendes.

Cette discussion sur l'opt-in n'est rien comparée à l'impact que la décision de la DPA autrichienne aura sur les propriétaires de sites web. Non seulement pour l'utilisation de Google Analytics mais par extension pour tout outil qui transfère des données vers des serveurs américains (comme MS Office 365, Teams, Zoom, Mailchimp, Adobe Analytics, Hubspot, Hotjar, AWS, Azure,...), peut-on lire dans l'analyse approfondie du partenaire juridique de la FeWeb, Sirius Legal.

Que dit Google ?

"Ce n'est pas la faute de l'outil mais de l'utilisateur", indique Google dans un communiqué. Les conditions d'utilisation de Google Analytics ne permettent pas de télécharger des données sur les utilisateurs qui permettraient à Google d'identifier ces derniers. Ce sont les utilisateurs de Google Analytics qui choisissent leur produit et, par conséquent, Google n'est pas responsable, mais bien les propriétaires de sites web. Google offre diverses possibilités d'anonymiser les adresses IP, de désactiver la collecte de données, etc.

L'entreprise renvoie également la responsabilité aux internautes qui peuvent bloquer Google Analytics via le navigateur web. Enfin, Google estime qu'il est nécessaire d'envoyer les données vers des serveurs situés aux États-Unis pour des raisons de rapidité et de fiabilité (ce que n'ont pas les serveurs européens ?).

Et ensuite ?

D'autres décisions condamnant l'utilisation des cloud tools américains sont attendues dans un avenir proche (y compris l'achèvement des 101 plaintes de noyb). Le législateur américain devra élever la protection de la vie privée au niveau européen ou les entreprises américaines devront séparer leurs activités aux États-Unis et dans l'UE.

Que pouvez-vous faire en tant qu'entrepreneur?

  • Demandez une autorisation explicite pour l'utilisation de cookies analytiques et statistiques, mais aussi une autorisation explicite pour le transfert de données en dehors de l'UE. Mais cela suffit-il lorsque les outils eux-mêmes sont qualifiés d'illégaux ?
  • Effectuez un audit de conformité de l'exportation des données : il s'agit d'une analyse approfondie de l'exportation des données pour vérifier si elle est couverte par la loi et si le cryptage des données ou d'autres mesures sont nécessaires.
  • Choisissez des fournisseurs européens (par exemple, Piwik PRO offre une alternative à Google Analytics qui respecte la vie privée). Quelle est donc la différence ? Les données restent la propriété du client et non du prestataire de services externe. En tant qu'entreprise, vous travaillez de manière conforme et utilisez les données du site web pour votre propre activité.

Help Lines

>> The Legal Compliant Agency: FeWeb Academy qui aura lieu le 8 février (en néerlandais)

>> Data Export Webinar de Sirius Legal qui aura lieu le 11 février (en néerlandais)

>> Avez-vous une question d'ordre juridique ? En tant que membre de la FeWeb, vous pouvez utiliser la Legal Line gratuitement.

Tags:

Website created and supported by Starring Jane & Procurios
Fermer