Par Anders Pilgaard Andersen, vice-président principal, avocat général, Adform

Des décisions récentes de plusieurs autorités de protection des données de l’UE signalent que l’utilisation de Google Analytics viole le règlement général sur la protection des données (RGPD) de l’UE. Ces décisions sonnent un avertissement non seulement pour les nombreuses entreprises qui utilisent Google Analytics, mais, plus largement, pour toute entreprise utilisant des plateformes de technologie publicitaire et de technologie mar basées aux États-Unis, car la plupart des entreprises collectent et transfèrent les mêmes types de données protégées.

Si cela ressemble à votre entreprise, voici ce que vous devez savoir – et ce à quoi vous devriez penser lorsque vous réfléchissez à la façon de réagir.

Une vague de décisions RGPD contre Google Analytics

La cascade la plus récente de les décisions et déclarations envoient le signal que les autorités européennes chargées de l’application de la loi ne toléreront plus l’accès des États-Unis aux données des citoyens européens.

Début janvier, le comité européen de la protection des données (CEPD) a publiquement réprimandé le Parlement européen pour avoir enfreint le RGPD en utilisant Google Analytics. Une semaine plus tard, l’autorité autrichienne de protection des données a publié une décision déclarant que l’utilisation de Google Analytics viole le règlement général sur la protection des données (RGPD) de l’UE.

La décision autrichienne a rapidement été suivie de décisions similaires ou de déclarations à la presse des autorités néerlandaises, danoises et Français de protection des données.

Ces décisions indiquent généralement que la configuration existante – où les données sur les citoyens européens sont collectées, transférées et stockées aux États-Unis – est en violation de l’article 44 du RGPD. Plus précisément, les autorités ont statué que le transfert de données personnelles vers les États-Unis n’était pas protégé contre la capacité du gouvernement américain à examiner les données en vertu des lois américaines sur la surveillance.

Dans le passé, l’UE et les États-Unis ont réussi à résoudre ces problèmes grâce au bouclier de protection des données désormais invalidé. Mais cette perspective a clairement changé en raison de tant de décisions similaires sur une courte période de temps.

En outre, l’écho rapide de ce changement de position à travers l’Europe, ainsi qu’un court délai de conformité d’un mois dans un cas Français, montrent clairement que les autorités considèrent qu’il s’agit d’un problème urgent et s’attendront à ce que les entreprises réagissent rapidement.

Un tournant pour les annonceurs utilisant la technologie publicitaire basée aux États-Unis et mar tech

Les décisions contre Google Analytics représentent une bombe potentielle pour l’industrie de la publicité, compte tenu de l’utilisation généralisée des plateformes de technologie publicitaire et de mar tech basées aux États-Unis. Toute plate-forme de ce type qui, à l’instar de Google Analytics, traite les données des cookies des personnes concernées européennes est probablement affectée ici.

En outre, la Français DPA a déclaré que cela s’étendait à « d’autres outils utilisés par les sites qui entraînent le transfert de données d’internautes européens vers les États-Unis ». L’APD danoise a noté que davantage de cas seront traités dans l’ensemble de l’UE.

Les annonceurs et les éditeurs doivent agir maintenant

IAB Europe continue de travailler pour faire du Transparency and Consent Framework (TCF) le premier sceau de certification ou code de conduite soutenu par le RGPD en vertu des articles 41 à 42 du RGPD pour l’industrie des technologies publicitaires. Un tel sceau ou code de conduite pour le TCF en tant que cadre apporterait de la clarté à toutes les parties prenantes de l’industrie de la publicité en ligne, des annonceurs et des fournisseurs de technologie aux éditeurs et aux utilisateurs finaux.

Mais les entreprises utilisant la technologie publicitaire et la technologie mar basées aux États-Unis peuvent-elles se permettre d’attendre plus de clarté ou de conseils de la part de l’IAB Europe ou des autorités de l’UE? Ou, au minimum, que devraient faire les annonceurs et les éditeurs maintenant?

La première étape consiste à rassembler les principales parties prenantes du marketing, du droit et de la conformité, des opérations informatiques et de la sécurité informatique pour commencer à répondre aux questions suivantes :

• Quelles données collectez-vous ? Où est-il stocké? Qui peut y accéder ? Assurez-vous d’une compréhension complète de votre propre flux de données – et de celui de vos fournisseurs.
• Quel est l’impact de vos obligations contractuelles sur vos exigences de conformité ?
• Comment pouvez-vous faire plus d’un point de vue technique et de sécurité – par exemple, Les données peuvent-elles être anonymisées avant d’être partagées ?
• Sur la base des réponses ci-dessus, êtes-vous confiant de pouvoir continuer à travailler avec des fournisseurs basés aux États-Unis, ou devriez-vous envisager des alternatives?

Les industries hautement réglementées qui accordent une grande attention à la conformité (p. ex., les sociétés financières, les entreprises de télécommunications, etc.) sont probablement déjà en train de déterminer comment réaccéder à leurs fournisseurs de publicité en fonction de ces décisions. Mais en réalité, toute entreprise opérant en Europe qui collecte des données sur ses clients devrait immédiatement faire une pause pour commencer un exercice de réévaluation, comme celui décrit ci-dessus, afin de déterminer si elle est conforme à l’esprith ces nouvelles décisions concernant les services des plateformes basées aux États-Unis.