Breaking news
Read our blog to learn why privacy matters. And don't forget to get an encrypted mailbox yourself!

Google Analytics a été déclaré illégal dans l'UE.

Maintenant que Google Analytics est illégal, Alphabet va-t-il mieux protéger les données des Européens pour se conformer au GDPR ?

2022-03-21
Google Analytics now banned in EUurope
Max Schrems, l'avocat qui a poursuivi avec succès Facebook pour violation de la vie privée de citoyens européens, a remporté une nouvelle victoire, cette fois contre Google : Dans deux décisions de justice historiques, l'autorité autrichienne de protection des données et l'organisme français de surveillance de la vie privée ont estimé que l'utilisation de Google Analytics sur les sites web européens était illégale.

Après la décision autrichienne rendue en février, la CNIL, le gendarme français de la vie privée, a également déclaré que Google Analytics enfreint le GDPR et doit donc être interdit. La CNIL a publié une déclaration :

" La CNIL, en collaboration avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées par ce service [Google Analytics] sont transférées aux États-Unis. La CNIL considère que ces transferts sont illégaux et ordonne à un gestionnaire de site internet français de se mettre en conformité avec le GDPR et, le cas échéant, de cesser d'utiliser ce service dans les conditions actuelles."

Google Analytics illégal en Europe

Google Analytics illegal in Europe.

Lorsque la législation du Privacy Shield a été invalidée en 2020, cela a eu des conséquences considérables pour les services en ligne américains opérant en Europe : Ils n'étaient plus autorisés à transférer les données des citoyens européens vers les États-Unis, car cela rendrait les données des citoyens européens vulnérables à la surveillance de masse américaine - une violation claire du GDPR européen.

Cependant, l'industrie technologique de la Silicon Valley a largement ignoré cette décision. Cela a maintenant conduit à la décision d'interdire Google Analytics en Europe. NOYB dit :

"Alors que cela (=invalidation du Privacy Shield) a envoyé des ondes de choc dans l'industrie de la tech, les fournisseurs américains et les exportateurs de données de l'UE ont largement ignoré l'affaire. Tout comme Microsoft, Facebook ou Amazon, Google s'est appuyé sur des clauses contractuelles dites "standard" pour poursuivre les transferts de données et calmer ses partenaires commerciaux européens."

Aujourd'hui, l'autorité autrichienne de protection des données touche la même corde sensible que le tribunal européen en déclarant l'invalidité du Privacy Shield : Elle a décidé que l'utilisation de Google Analytics est illégale car elle viole le règlement général sur la protection des données (RGPD). Google est "soumis à la surveillance des services de renseignement américains et peut recevoir l'ordre de leur divulguer les données des citoyens européens". Les données des citoyens européens ne peuvent donc pas être transférées outre-Atlantique.

Décision originale du tribunal autrichien.

Traduction automatique de la décision originale.

Quel était l'objet de l'affaire judiciaire ?

Le 14 août 2020, un utilisateur de Google avait accédé à un site web autrichien consacré aux questions de santé. Ce site utilisait Google Analytics, et les données concernant l'utilisateur étaient transmises à Google aux États-Unis. Sur la base de ces données, Google a pu déduire qui il était.

Le 18 août 2020, l'utilisateur de Google a porté plainte auprès de l'autorité autrichienne de protection des données avec l'aide de l'organisation de protection des données NOYB.

Aujourd'hui, le tribunal autrichien a déclaré que ce transfert de données de Google Analytics était illégal en Europe.

Le problème est qu'en vertu de la loi américaine CLOUD, les autorités américaines peuvent exiger des données personnelles de Google, Facebook et d'autres fournisseurs américains, même s'ils opèrent en dehors des États-Unis, par exemple en Europe.

Ainsi, Google ne peut pas fournir un niveau de protection adéquat au titre de l'article 44 du GDPR - une violation manifeste des garanties européennes en matière de protection des données. Les clauses contractuelles standard invoquées par l'exploitant du site web ne sont d'aucune aide, comme l'a reconnu en 2020 la Cour de justice de l'Union européenne (CJUE) dans sa décision sur le "Privacy Shield" (Schrems II).

Le facteur décisif pour l'évaluation juridique de l'utilisation de Google Analytics n'est pas de savoir si une agence de renseignement américaine a effectivement obtenu les données ou si Google a effectivement identifié l'utilisateur. Le simple fait que cela était théoriquement possible constituait déjà une violation du GDPR.

Les utilisateurs de Google peuvent toutefois effectuer un réglage dans leurs comptes Google pour empêcher Google d'évaluer en détail leur utilisation de sites Web tiers. Mais le fait que cette fonctionnalité existe est la preuve que Google est capable de fusionner les données d'utilisation avec l'individu.

Le plus grand succès de NOYB

Ce jugement est l'un des plus grands succès de l'organisation de protection des données NOYB à ce jour. Par conséquent, le NOYB et Max Schrems sont très heureux de la décision du tribunal autrichien :

"Il s'agit d'une décision très détaillée et solide. L'essentiel est là : Les entreprises ne peuvent plus utiliser les services en nuage américains en Europe. Cela fait maintenant 1,5 an que la Cour de justice l'a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée."

Cet arrêt est le premier d'une série de 101 actions en justice intentées par l'association sans but lucratif de M. Schrems, NOYB, dans la plupart des États membres de l'Union européenne.

Des décisions similaires sur l'interdiction de Google Analytics devraient maintenant tomber en Allemagne, aux Pays-Bas et dans d'autres États membres de l'UE.

Supprimer Google Analytics ?

Tutanota - en tant que service de messagerie sécurisé qui se concentre sur la confidentialité des utilisateurs - n'a jamais utilisé Google Analytics.

Mais désormais, de nombreuses entreprises en Europe doivent se demander si elles doivent supprimer Google Analytics de leurs sites Web ou risquer une sanction pour violation du GDPR.

À long terme, il y aura deux options : Soit les États-Unis modifient leurs lois de surveillance pour renforcer leurs entreprises technologiques, soit les fournisseurs américains devront héberger les données des utilisateurs européens en Europe.

L'autorité néerlandaise chargée des données à caractère personnel (AP) - où deux décisions sur l'utilisation de Google Analytics sont encore en suspens - vient de mettre à jour ses propres conseils sur la "configuration de Google Analytics respectueuse de la vie privée".

Avec cette mise à jour, l'AP a émis un avertissement :

"Veuillez noter : l'utilisation de Google Analytics pourrait bientôt ne plus être autorisée".

L'Autorité néerlandaise pour les données personnelles prévoit de se prononcer sur les affaires en cours concernant Google Analytics au début de 2022. L'AP publiera alors une déclaration claire sur l'illégalité ou non de l'utilisation de Google Analytics en Europe.

Conclusion

Si les entreprises technologiques de la Silicon Valley trouveront un moyen de continuer à proposer leurs services en Europe - d'une manière ou d'une autre - l'approche qu'elles ont adoptée après l'invalidation du Privacy Shield doit susciter plusieurs signaux d'alarme chez les entreprises européennes :

En tant qu'entreprise européenne, il n'est plus possible de confier les données sensibles des utilisateurs à des sociétés telles que Google qui ignorent délibérément la législation européenne en matière de protection de la vie privée et risquent de lourdes amendes pour leurs entreprises clientes européennes.

Les amendes infligées au site web autrichien consacré à la santé dans le cas évoqué n'ont pas encore été décidées, mais nous suivrons l'évolution de la situation de près.

Au contraire - et comme la vie privée devient de plus en plus importante pour les consommateurs du monde entier - il est logique pour toute entreprise européenne de choisir des services qui se concentrent sur la protection de la vie privée de leurs utilisateurs.

Tutanota, par exemple, est un fournisseur allemand de messagerie électronique sécurisée qui est en totale conformité avec le GDPR.


Lecture complémentaire recommandée : Guide rapide pour reprendre en main votre vie privée en ligne avec de nombreuses alternatives Google.

LOAD COMMENTS