Table des matières de l'article :
L'affaire de l'autorité suédoise de protection de la vie privée contre Google Analytics a soulevé des questions cruciales sur la protection des données et les droits des consommateurs. Tele2, une grande entreprise de télécommunications, a été condamnée à une amende de 1 million d'euros pour utilisation non autorisée de Google Analytics, marquant la première sanction financière pour l'utilisation du service. Cet événement s'impose comme un jalon important pour les organisations qui se préparent aux développements du nouveau protocole de transfert de données entre les États-Unis et l'UE. Clarifions.
Les répercussions de l'arrêt Schrems II
L'arrêt Schrems II a eu un impact considérable sur les grandes entreprises technologiques, communément appelées Big Tech, en particulier en ce qui concerne Google Analytics. La décision de la Cour a mis en évidence de graves problèmes de sécurité concernant la gestion des données personnelles, générant des répercussions importantes en termes de protection des données.
Dans le détail, la décision a soulevé des questions concernant la sauvegarde et la protection des données personnelles qui sont transférées aux bureaux américains des entreprises. Suite à cette décision, les régulateurs ont commencé à déconseiller l'utilisation de Google Analytics, car il a été révélé que le service ne pouvait pas garantir un niveau de protection adéquat pour les données personnelles transférées en dehors des frontières de l'Union européenne.
En 2022, l'Autorité italienne de protection des données, en réponse à l'arrêt Schrems II, a énoncé sa position de manière claire et sans équivoque. Il a déclaré qu'en l'absence du Privacy Shield - un accord qui permettait le transfert de données personnelles entre l'UE et les États-Unis - et sans accord juridiquement contraignant ou garanties adéquates conformément au règlement général sur la protection des données (RGPD), les entreprises être contraint d'arrêter d'utiliser Google Analytics.
En substance, le régulateur italien a souligné l'importance de se conformer aux réglementations sur la protection des données, telles que le RGPD, soulignant l'importance de la sécurité des données personnelles des utilisateurs. En l'absence d'un cadre légal ou de mécanismes de protection adéquats, l'utilisation d'outils tels que Google Analytics, qui impliquent le transfert de données personnelles à l'échelle internationale, aurait dû être suspendue pour assurer la protection des données personnelles des citoyens.
Google Analytics sous l'objectif du garant suédois
L'Autorité suédoise de protection des données a examiné quatre entreprises pour comprendre comment elles utilisaient Google Analytics pour extraire des statistiques Web. Parmi ceux-ci, deux ont été condamnés à une amende et tous ont reçu l'ordre de cesser d'utiliser le service. La sanction la plus sévère a été infligée à Tele2, qui a reçu une amende de 12 millions de couronnes suédoises (environ 1 million d'euros) pour avoir utilisé Google Analytics sur sa page Web.
Cependant, la chaîne alimentaire Coop et le journal Dagens Industri n'ont pas été condamnés à une amende, ayant pris des mesures supplémentaires pour protéger les données transférées selon les indications fournies par les autorités européennes.
L'action de NOYB et le prononcé d'une sanction financière historique
Les plaintes qui ont conduit aux décisions de l'Autorité de surveillance suédoise ont été déposées par l'asbl NOYB (None of Your Business), fondée par Max Schrems, l'activiste qui a donné son nom à l'arrêt Schrems II.
Ces décisions représentent un précédent important en Europe, car il s'agit de la première sanction financière pour l'utilisation de Google Analytics. Cela marque un point de référence crucial pour les organisations utilisant ce service, en attendant les développements du nouveau protocole de transfert de données entre les États-Unis et l'UE.
Détails des plaintes et des audits effectués
Les enquêtes menées par IMY ont été ouvertes à la suite de plaintes déposées par NOYB. Les plaignants ont souligné que le RGPD ne permet pas le transfert de données personnelles en dehors de l'UE sans moyens adéquats pour assurer un niveau de protection similaire à celui requis par le RGPD lui-même.
Au cours des audits effectués, IMY a indiqué que les données transférées aux États-Unis via Google Analytics sont avant tout des données personnelles. Celles-ci peuvent être liées à d'autres données uniques qui sont également transférées, permettant d'identifier un individu spécifique.
Plus précisément, l'organisme d'enquête IMY a lancé les activités d'enquête, sur la base d'une série de plaintes déposées par l'organisation NOYB. Ces plaintes ont souligné comment les dispositions fixées par le RGPD - le règlement général sur la protection des données de l'Union européenne - n'autorisent pas le transfert de données personnelles en dehors de l'UE à moins que des mesures spécifiques ne soient en place qui garantissent à ces données un niveau de protection équivalent à celui prescrit par le RGPD lui-même.
Les principales préoccupations exprimées par les plaignants visaient spécifiquement Google, qui est classé comme fournisseur de services de communications électroniques en vertu de la législation américaine. À ce titre, Google est soumis à la surveillance des agences de renseignement américaines, ce qui soulève des questions sur sa capacité à assurer une protection adéquate des données personnelles une fois transférées aux États-Unis, même au regard des clauses contractuelles types en vigueur. En effet, si demandé, Google est obligé de remettre ces données au gouvernement américain.
Lors de l'audit réalisé, IMY a fait valoir, dans la lignée de ce qui a été affirmé par d'autres autorités européennes, que les données transférées aux États-Unis via les outils statistiques de Google sont avant tout des données personnelles. En effet, ils peuvent être liés à d'autres données uniques qui sont transférées, ce qui permet d'identifier un individu spécifique. Plus précisément, les informations transférées comprennent :
- Des détails sur votre visite sur le site Web, tels que les pages consultées ou les clics effectués ;
- Informations sur l'appareil utilisé pour visiter le site Web, y compris l'adresse IP ;
- Informations stockées dans le cookie (cookie _ga) représentant l'identifiant client.
Ces données, combinées les unes aux autres, permettent l'identification d'un individu spécifique à travers ce que l'on appelle les "identifiants de réseau", en particulier si elles sont combinées avec d'autres informations de nature similaire.
En conséquence, l'autorité a appliqué la disposition du considérant 30 du RGPD qui stipule que "les individus peuvent être associés à des identifiants en ligne fournis par leurs appareils, tels que des adresses IP, des cookies ou d'autres identifiants. Cela peut laisser des traces qui, en combinaison avec des identifiants uniques et d'autres données collectées, peuvent être utilisées pour créer des profils d'individus et les identifier." .
Grâce à l'intégration des informations collectées par Google Analytics, réparties selon des indicateurs spécifiques créés dans le but de distinguer les visiteurs individuels, ces derniers deviennent inévitablement identifiables. Ce processus conduit à la pleine application des principes établis par le RGPD.
La véracité de cette affirmation est encore renforcée par le fait qu'en se connectant à son compte Google, un plaignant peut se connecter à son compte Google une fois arrivé sur le site de Tele2. Cela permet à Google d'utiliser les informations collectées avec Analytics pour envoyer des publicités personnalisées à l'utilisateur visiteur.
Avis et prévisions de NOYB sur le nouveau protocole de transfert de données UE/États-Unis
Selon Marco Blocher, avocat spécialisé dans la protection des données et membre du NOYB, la décision de l'IMY représente un changement bienvenu par rapport aux autres autorités de protection des données. Blocher a salué l'action de l'autorité suédoise pour sa décision d'imposer une amende importante et d'interdire l'utilisation continue d'un outil qui viole le RGPD.
Cependant, NOYB a exprimé son scepticisme quant au nouveau protocole de transfert de données UE/États-Unis, arguant qu'il ne résoudra pas les problèmes liés au transfert de données personnelles.
conclusion
L'affaire suédoise contre Google Analytics marque un tournant dans la protection des données personnelles. Cette sanction financière, la première du genre, pourrait servir d'exemple à d'autres organismes et régulateurs à travers le monde. La décision souligne l'importance de la protection des données et la nécessité de se conformer aux règles du RGPD. La prochaine étape consistera à voir comment les organisations réagissent à cette décision et comment le nouveau protocole de transfert de données entre les États-Unis et l'UE se développe.