BLOG

7 juillet 2023

L'autorité suédoise s'oppose à Google Analytics en infligeant une amende d'un million à une entreprise qui utilisait Google Analytics.

Une nouvelle décision de l'autorité suédoise remet une nouvelle fois en cause l'utilisation abusive de Google Analytics et les conséquences qui en découlent en termes de sanctions.

L'affaire de l'autorité suédoise de protection de la vie privée contre Google Analytics a soulevé des questions cruciales sur la protection des données et les droits des consommateurs. Tele2, une grande entreprise de télécommunications, a été condamnée à une amende de 1 million d'euros pour utilisation non autorisée de Google Analytics, marquant la première sanction financière pour l'utilisation du service. Cet événement s'impose comme un jalon important pour les organisations qui se préparent aux développements du nouveau protocole de transfert de données entre les États-Unis et l'UE. Clarifions.

Les répercussions de l'arrêt Schrems II

L'arrêt Schrems II a eu un impact considérable sur les grandes entreprises technologiques, communément appelées Big Tech, en particulier en ce qui concerne Google Analytics. La décision de la Cour a mis en évidence de graves problèmes de sécurité concernant la gestion des données personnelles, générant des répercussions importantes en termes de protection des données.

Dans le détail, la décision a soulevé des questions concernant la sauvegarde et la protection des données personnelles qui sont transférées aux bureaux américains des entreprises. Suite à cette décision, les régulateurs ont commencé à déconseiller l'utilisation de Google Analytics, car il a été révélé que le service ne pouvait pas garantir un niveau de protection adéquat pour les données personnelles transférées en dehors des frontières de l'Union européenne.

En 2022, l'Autorité italienne de protection des données, en réponse à l'arrêt Schrems II, a énoncé sa position de manière claire et sans équivoque. Il a déclaré qu'en l'absence du Privacy Shield - un accord qui permettait le transfert de données personnelles entre l'UE et les États-Unis - et sans accord juridiquement contraignant ou garanties adéquates conformément au règlement général sur la protection des données (RGPD), les entreprises être contraint d'arrêter d'utiliser Google Analytics.

En substance, le régulateur italien a souligné l'importance de se conformer aux réglementations sur la protection des données, telles que le RGPD, soulignant l'importance de la sécurité des données personnelles des utilisateurs. En l'absence d'un cadre légal ou de mécanismes de protection adéquats, l'utilisation d'outils tels que Google Analytics, qui impliquent le transfert de données personnelles à l'échelle internationale, aurait dû être suspendue pour assurer la protection des données personnelles des citoyens.

Google Analytics sous l'objectif du garant suédois

L'Autorité suédoise de protection des données a examiné quatre entreprises pour comprendre comment elles utilisaient Google Analytics pour extraire des statistiques Web. Parmi ceux-ci, deux ont été condamnés à une amende et tous ont reçu l'ordre de cesser d'utiliser le service. La sanction la plus sévère a été infligée à Tele2, qui a reçu une amende de 12 millions de couronnes suédoises (environ 1 million d'euros) pour avoir utilisé Google Analytics sur sa page Web.

Cependant, la chaîne alimentaire Coop et le journal Dagens Industri n'ont pas été condamnés à une amende, ayant pris des mesures supplémentaires pour protéger les données transférées selon les indications fournies par les autorités européennes.

L'action de NOYB et le prononcé d'une sanction financière historique

Les plaintes qui ont conduit aux décisions de l'Autorité de surveillance suédoise ont été déposées par l'asbl NOYB (None of Your Business), fondée par Max Schrems, l'activiste qui a donné son nom à l'arrêt Schrems II.

Ces décisions représentent un précédent important en Europe, car il s'agit de la première sanction financière pour l'utilisation de Google Analytics. Cela marque un point de référence crucial pour les organisations utilisant ce service, en attendant les développements du nouveau protocole de transfert de données entre les États-Unis et l'UE.

Détails des plaintes et des audits effectués

Les enquêtes menées par IMY ont été ouvertes à la suite de plaintes déposées par NOYB. Les plaignants ont souligné que le RGPD ne permet pas le transfert de données personnelles en dehors de l'UE sans moyens adéquats pour assurer un niveau de protection similaire à celui requis par le RGPD lui-même.

Au cours des audits effectués, IMY a indiqué que les données transférées aux États-Unis via Google Analytics sont avant tout des données personnelles. Celles-ci peuvent être liées à d'autres données uniques qui sont également transférées, permettant d'identifier un individu spécifique.

Plus précisément, l'organisme d'enquête IMY a lancé les activités d'enquête, sur la base d'une série de plaintes déposées par l'organisation NOYB. Ces plaintes ont souligné comment les dispositions fixées par le RGPD - le règlement général sur la protection des données de l'Union européenne - n'autorisent pas le transfert de données personnelles en dehors de l'UE à moins que des mesures spécifiques ne soient en place qui garantissent à ces données un niveau de protection équivalent à celui prescrit par le RGPD lui-même.

Les principales préoccupations exprimées par les plaignants visaient spécifiquement Google, qui est classé comme fournisseur de services de communications électroniques en vertu de la législation américaine. À ce titre, Google est soumis à la surveillance des agences de renseignement américaines, ce qui soulève des questions sur sa capacité à assurer une protection adéquate des données personnelles une fois transférées aux États-Unis, même au regard des clauses contractuelles types en vigueur. En effet, si demandé, Google est obligé de remettre ces données au gouvernement américain.

Lors de l'audit réalisé, IMY a fait valoir, dans la lignée de ce qui a été affirmé par d'autres autorités européennes, que les données transférées aux États-Unis via les outils statistiques de Google sont avant tout des données personnelles. En effet, ils peuvent être liés à d'autres données uniques qui sont transférées, ce qui permet d'identifier un individu spécifique. Plus précisément, les informations transférées comprennent :

  1. Des détails sur votre visite sur le site Web, tels que les pages consultées ou les clics effectués ;
  2. Informations sur l'appareil utilisé pour visiter le site Web, y compris l'adresse IP ;
  3. Informations stockées dans le cookie (cookie _ga) représentant l'identifiant client.

Ces données, combinées les unes aux autres, permettent l'identification d'un individu spécifique à travers ce que l'on appelle les "identifiants de réseau", en particulier si elles sont combinées avec d'autres informations de nature similaire.

En conséquence, l'autorité a appliqué la disposition du considérant 30 du RGPD qui stipule que "les individus peuvent être associés à des identifiants en ligne fournis par leurs appareils, tels que des adresses IP, des cookies ou d'autres identifiants. Cela peut laisser des traces qui, en combinaison avec des identifiants uniques et d'autres données collectées, peuvent être utilisées pour créer des profils d'individus et les identifier." .

Grâce à l'intégration des informations collectées par Google Analytics, réparties selon des indicateurs spécifiques créés dans le but de distinguer les visiteurs individuels, ces derniers deviennent inévitablement identifiables. Ce processus conduit à la pleine application des principes établis par le RGPD.

La véracité de cette affirmation est encore renforcée par le fait qu'en se connectant à son compte Google, un plaignant peut se connecter à son compte Google une fois arrivé sur le site de Tele2. Cela permet à Google d'utiliser les informations collectées avec Analytics pour envoyer des publicités personnalisées à l'utilisateur visiteur.

Avis et prévisions de NOYB sur le nouveau protocole de transfert de données UE/États-Unis

Selon Marco Blocher, avocat spécialisé dans la protection des données et membre du NOYB, la décision de l'IMY représente un changement bienvenu par rapport aux autres autorités de protection des données. Blocher a salué l'action de l'autorité suédoise pour sa décision d'imposer une amende importante et d'interdire l'utilisation continue d'un outil qui viole le RGPD.

Cependant, NOYB a exprimé son scepticisme quant au nouveau protocole de transfert de données UE/États-Unis, arguant qu'il ne résoudra pas les problèmes liés au transfert de données personnelles.

conclusion

L'affaire suédoise contre Google Analytics marque un tournant dans la protection des données personnelles. Cette sanction financière, la première du genre, pourrait servir d'exemple à d'autres organismes et régulateurs à travers le monde. La décision souligne l'importance de la protection des données et la nécessité de se conformer aux règles du RGPD. La prochaine étape consistera à voir comment les organisations réagissent à cette décision et comment le nouveau protocole de transfert de données entre les États-Unis et l'UE se développe.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

Retour en haut de page