Après les amendes record infligées par la CNIL à Google (150M€) et Facebook (60M€), le jugement autrichien marque une nouvelle étape, très probablement décisive, dans l’histoire des sociétés technologiques américaines en Europe.
Il est temps de comprendre réellement ce qu’impose la RGPD.
Il est temps d’oublier les contournements “techniques” illusoires
Il est temps de repenser sa relation collecte <> client
Un jugement qui porte bien au-delà d’un simple avertissement lié à la Privacy… et qui inquiète toutes les sociétés tech US
Un jugement… Mais quel jugement ?
La saga commence en réalité en juillet 2020. Dans son arrêt Schrems II, la Cour de justice de l'Union européenne a déclaré que les transferts de données personnelles historiquement basés sur l’accord “Privacy Shield” étaient illégaux à cause des programmes de surveillance américains.
C’est en application de cet arrêt que l’Autriche vient de déclarer l’application Google Analytics illégale.
Oui, illégale.
Et il y a pire, puisque que c’est le premier jugement d’une série de 101 plaintes similaires déposées partout en Europe par une association de défense de la vie privée.
Un jugement qui est une bonne nouvelle pour le consommateur
Voyons d’abord le point de vue du consommateur. Là, c’est clair, c’est une bonne nouvelle. On n’a pas envie que nos données personnelles finissent sur les serveurs de la CIA ou de la NSA “par défaut”.
Un jugement qui est une alerte importante pour les annonceurs …
Pour les annonceurs, pas de panique. Le jugement ne n’est pas accompagné (pour l’instant) d’une amende ou autre punition pour le site visé, ni pour Google d’ailleurs. Ça sent la riposte graduée, mais vous conviendrez que l’étau se resserre…
Un jugement qui invite les prestataires à clarifier leur discours
Aujourd’hui, pas mal de fournisseurs de solution jouent sur la connaissance limitée des clients de la RGPD pour vendre plus. En jouant sur les buzzwords comme Exemption de consentement, GA4, Server-Side… Ils promettent de réussir à tracker les internautes, même quand ceux-ci ne consentent pas.
Ce n’est tout simplement pas possible au-delà d’un cahier des charges très clair de la CNIL. La RGPD n’est pas un problème qu’on contourne techniquement, c’est une limite claire à la collecte d’information en fonction du consentement de l’internaute. Pour mémoire, les règles sont vraiment simples :
- non, c’est non, sauf ce qui est requis pour faire fonctionner le site techniquement
- “je ne sais pas”... C’est non aussi :)
- oui, c’est oui !
Faut-il s’inquiéter et quand passer à l’action ?
Nous sommes dans une situation de pression sur les techs américaines qui monte de manière régulière. Et rapide. Comme il n’y a pas de date couperet à ce stade, l’urgence est de comprendre le problème avant de se jeter sur les solutions.
Donc je répète :
Il est temps de comprendre réellement ce qu’impose la RGPD
Il est temps d’oublier les contournements “techniques” illusoires
Il est temps de repenser sa relation collecte <> client
En conclusion
De mon côté, j’applique pour l’instant l’adage d'Einstein :
“Si j'avais une heure pour résoudre un problème, je passerais cinquante-cinq minutes à réfléchir au problème et seulement cinq minutes à trouver la solution.”
Si le sujet vous intéresse et que vous voulez être au courant des prochains rebondissements, faites-le moi savoir en commentaire ou MP.