Google Analytics viole-t-il le RGPD ? Google Analytics illégal en Europe ?

Google Analytics est l'un des services les plus répandus et les plus populaires sur le web : il est utilisé par presque tous les sites web, et même le réseau social Facebook (un milliard d'utilisateurs) en fait confiance. Mais comment peut-il garantir le respect de la nouvelle réglementation européenne sur la protection des données ?

L'année dernière, Google a mis à jour sa politique de confidentialité pour se conformer au RGPD : il a notamment mis en place un nouvel outil pour faire savoir aux gens quelles données sont collectées et comment elles sont utilisées. Les informations sont maintenant plus détaillées et explicites.

Google Analytics ne respecterait cependant pas les règles européennes en matière de transfert de données, considérant que les mesures techniques, organisationnelles et contractuelles adoptées par Google sont insuffisantes : la question est contextualisée dans les activités postérieures à l'arrêt Schrems II qui a déclaré illégitime l'accord Privacy Shield entre Bruxelles et Washington.

Pour la même raison, le CEPD rappelle que Google Analytics doit être considéré comme un "sous-traitant" conformément à l'article 28 du RGPD, mais souligne également que cela ne signifie pas qu'elle est soumise à toutes les dispositions dudit règlement. En effet, si une entreprise souhaite traiter des données à caractère personnel pour le compte d'une autre entité (en l'occurrence Google), elle doit s'assurer qu'il existe des garanties appropriées pour une protection adéquate de ces données (articles 32 à 36).

Dans la foulée de cette décision, les autorités autrichiennes ont demandé à Google de se conformer aux dispositions du Règlement général sur la protection des données (RGPD) adopté en 2018, afin que les utilisateurs puissent obtenir l'accès, la rectification ou la suppression et la portabilité des données.

À cette fin, Google devait fournir une copie de toutes les données traitées pour le compte de chaque utilisateur.

L'autorité de l'ORD a déjà publié un premier rapport d'inspection sur le sujet. Les conclusions sont dévastatrices pour Google, qui ne respecterait pas les règles européennes en matière de transfert de données. En effet, le CEPD rappelle que l'arrêt Schrems II a déclaré l'accord invalide "Privacy Shield"Entre l'UE et les États-Unis concernant les transferts de données personnelles. Le CEPD invite donc Google à poursuivre ses efforts pour se conformer aux normes européennes.

Qu'est-ce que le Privacy Shield et quand a-t-il été aboli ?

Le GDPR Privacy Shield est un accord qui nous permet d'envoyer vos données aux États-Unis.

Le GDPR Privacy Shield est un nouveau cadre pour les flux de données transatlantiques entre les États-Unis et l'UE. Il s'agit d'un "bouclier de confidentialité" car il protège les données personnelles lorsqu'elles sont envoyées de l'UE à des entreprises américaines. L'accord remplace un ancien cadre, appelé « sphère de sécurité », qui a été utilisé par des milliers d'entreprises américaines depuis 2000. La sphère de sécurité a été abolie car elle n'était pas assez solide pour protéger les informations.

Le bouclier de confidentialité GDPR fonctionne différemment de la sphère de sécurité. Utiliser des pouvoirs d'exécution plus forts et des politiques plus strictes pour les entreprises américaines qui traitent les données des citoyens de l'UE. Cela garantira que vos informations personnelles sont bien traitées et utilisées uniquement pour des raisons légales.

Le GDPR Privacy Shield est entré en vigueur le 12 juillet 2016, mais a été controversé depuis. En septembre 2017, les régulateurs de la vie privée de l'UE ont décidé que l'accord n'était pas assez solide pour protéger les informations des personnes. Ils ont déclaré qu'ils prendraient des mesures pour suspendre l'accord si plus aucun changement n'était apporté d'ici septembre 2018.

Quels sont les risques et sanctions pour ceux qui ne se conforment pas au RGPD ?