Coup de tonnerre dans l’univers des GAFA en Europe : Google Analytics est reconnu illégal par les autorités autrichiennes.
L’Autorité autrichienne de la protection des données (DPA, l’équivalent de la CNIL en France) estime que le transfert des données recueillies par GA vers les Etats-Unis constitue une violation du droit européen tel que le RGPD l’encadre.
On pourrait s’en tenir à une décision retentissante mais isolée - ce serait néanmoins une erreur : le jugement autrichien est l’arbre qui cache à peine la forêt.
L’Autriche n’est en effet que le 1er pays à sanctionner Google Analytics dans le cadre de 101 plaintes déposées auprès de 30 autorités de protection des données en Europe par NOYB ( Facebook Connect est également dans le viseur).
Qu’est-ce que cela signifie concrètement ?
Tout simplement que le cas autrichien pourrait être le déclencheur d’une vague d’interdictions ou de limitations de Google Analytics en Europe - à des degrés plus ou moins radicaux bien sûr. Actuellement par exemple, les Pays-Bas et de nombreux autres pays évaluent si GA enfreint le RGPD.
Ce qui pose problème : la transmission pourtant interdite des données récoltées auprès des utilisateurs européens
Siècle Digital le décrit parfaitement : “Selon le régulateur, le géant américain aurait partiellement ignoré l'annulation de l'accord « Privacy Shield » par la Cour de justice de l'Union en 2020. Comme toutes les données d'Analytics sont hébergées aux États-Unis, les utilisateurs européens sont également touchés par cette collecte de données. Des centaines d'entreprises européennes utilisent Google Analytics, et transmettent donc toujours leurs données récoltées à Google.”
Réaction de Google ? Certes, les données sont transférées mais aucune requête n’a jamais été effectuée en ce sens.
“Austria’s data protection authority ruled that a local web publisher’s implementation of Google Analytics did not provide an adequate level of protection, on the grounds that U.S. national security agencies have a theoretical ability to access user data. But Google has offered Analytics-related services to global businesses for more than 15 years and in all that time has never once received the type of demand the DPA speculated about. And we don't expect to receive one because such a demand would be unlikely to fall within the narrow scope of the relevant law.”
Traduction : “L'autorité autrichienne de protection des données a jugé que la mise en œuvre de Google Analytics par un éditeur de sites web local n'offrait pas un niveau de protection adéquat, au motif que les agences de sécurité nationale américaines ont théoriquement la possibilité d'accéder aux données des utilisateurs. Mais Google offre des services liés à Analytics à des entreprises internationales depuis plus de 15 ans et, pendant tout ce temps, n'a jamais reçu le type de demande sur lequel l'autorité de protection des données a spéculé. Et nous ne nous attendons pas à en recevoir une, car il est peu probable qu'une telle demande relève du champ d'application étroit de la loi applicable.”
Pas d’encadrement des transferts de données UE / USA = pas d’issue visible
Or faute d’accord entre l’UE et les USA en vue d’encadrer les transferts de données vers les Etats-Unis, la situation reste insoluble pour Google, qui appelle d’ailleurs à un nouveau “data transfer framework” entre les continents (lire à ce sujet le blog Google).
A suivre donc. Abonnez-vous pour recevoir les mises à jour de cette page.
Ressources et lectures pour aller plus loin
En français :
En anglais :
https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/
https://www.wired.com/story/google-analytics-europe-austria-privacy-shield/
