Google Analytics et les problèmes de confidentialité qui l’entourent
Google a été critiqué pour avoir collecté des données sur les internautes, suivi agressif et divulgué trop d’informations aux gouvernements pendant très longtemps, Google Analytics soulevant récemment certaines des plus grandes préoccupations en matière de confidentialité. La décision de l’autorité autrichienne de protection des données (DPA) du 22 décembre 2021, première mesure décisive de l’Europe contre Google Analytics, ne fait qu’attiser la discussion et confirme la nécessité d’une nouvelle réglementation UE-États-Unis sur les données.
Google Analytics et la protection des données
Lancé en novembre 2005, Google Analytics est le service de statistiques de site Web le plus largement utilisé qui suit et rapporte l’activité du site Web, y compris la durée de la session, les pages par session, les informations sur la source du trafic, etc. De plus, chaque fois qu’une personne visite un site Web qui utilise Google Analytics , Google suit cette visite via l’adresse IP pour déterminer l’emplacement géographique approximatif de l’utilisateur. Toutes les données collectées par Google Analytics transitent par les services de Google situés aux États-Unis, par conséquent l’utilisation de Google Analytics par un fournisseur de site Web européen (et le transfert de données personnelles aux États-Unis) peut constituer une violation du chapitre V. du RGPD.
Le cas de NetDoktor
Une société d’information médicale autrichienne NetDoktor (« Société ») a mis en place une version gratuite de l’outil Google Analytics sur son site Web pour permettre des évaluations statistiques du comportement des visiteurs du site Web. Les données collectées par l’outil, qui étaient fournies par Google LLC (« Google ») à l’époque, étaient hébergées (et donc transférées) aux États-Unis. Afin de répondre aux exigences de l’arrêt Schrems II, la Société et Google ont conclu des clauses contractuelles types. De plus, Google a mis en place d’autres mesures contractuelles, organisationnelles et techniques.
Décision
Considérant que Google, en tant que fournisseur de services de communications électroniques au sens du 50 US Code § 1881, est soumis à la surveillance des services de renseignement américains conformément à la section 702 du Foreign Intelligence Surveillance Act (FISA) et est tenu de fournir aux États-Unis autorités détenant des données personnelles, il n’est pas en mesure d’assurer une protection adéquate des données personnelles, selon le PDD autrichien (étant donné que les mesures supplémentaires en place n’ont pas été en mesure de surmonter les risques associés à l’utilisation des cookies mentionnés). Par conséquent, la DPA a jugé qu’un tel transfert de données personnelles aux États-Unis était illégal.
La DPA a également noté que :
- lors de l’utilisation des cookies de Google Analytics, la possibilité d’utiliser une « fonction d’anonymisation IP » est offerte, cependant, cette fonction n’a pas été correctement activée par la Société en raison d’une erreur ; par conséquent, il n’a pas été examiné par la DPA ; mais, quel que soit le problème technique, la DPA a conclu que les données d’adresse IP étaient des données personnelles étant donné qu’elles peuvent être combinées avec d’autres données numériques pour identifier une personne concernée et qu’il ne s’agit que d’une des nombreuses « pièces de puzzle » de l’empreinte numérique des utilisateurs . Étant donné que Google utilise des cookies et les connecte au compte Google des utilisateurs, l’identification de l’individu serait possible via l’identifiant du cookie.
- l’utilisation de technologies de cryptage n’est pas suffisante dans ce cas car les autorités américaines peuvent obliger le fournisseur à divulguer les données en fournissant la clé de cryptage ; une conclusion similaire a été tirée en ce qui concerne la pseudonymisation, considérant également que l’identifiant Google Analytics peut être associé au compte Google.
conclusion
La décision discutée de la DPA autrichienne est une première prise à la suite des 101 plaintes déposées l’année dernière par le noyb de Max Schrems dans plusieurs DPA européennes à la suite de l’arrêt CJEU Schrems II.
Un autre a été publié récemment par l’organisme de surveillance français – la CNIL, dans lequel il a statué que puisque Google Analytics n’a pas adopté de mesures supplémentaires adéquates afin d’éviter l’accès des services de renseignement américains aux données, le transfert de données à Google Analytics viole l’article 44 du RGPD. Il a également trouvé la fonction d’anonymisation IP, qui est (i) facultative et ne s’applique pas à tous les transferts et (ii) il n’est pas clair si l’anonymisation a lieu avant ou après le transfert de l’adresse IP aux États-Unis et seulement raccourcie dans un deuxième étape, donnant potentiellement accès à l’intégralité de l’adresse IP, serait inefficace. La CNIL a également conclu brièvement que le consentement (comme l’une des exceptions énumérées à l’article 49 du RGPD) n’est pas un mécanisme de transfert approprié, s’il est recueilli au sein du bandeau cookie, car il ne répondrait pas à l’exigence d’être explicite.
La décision est également conforme à la récente décision du Contrôleur européen de la protection des données, selon laquelle le Parlement européen a enfreint l’article 46 et l’article 48, paragraphe 2, point b), du RGPD, car même s’il s’est appuyé sur des clauses contractuelles types comme mécanisme de transfert, il a échoué. de fournir toute documentation concernant les mesures contractuelles, techniques ou organisationnelles en place, qui pourraient assurer un niveau de protection adéquat aux données personnelles transférées aux fournisseurs situés aux États-Unis (Google Analytics et Stripe). Nous devrions également nous attendre à ce que les APD allemandes et néerlandaises rendent leurs décisions d’un jour à l’autre.
Les cas ci-dessus seront certainement importants dans leurs implications, ajoutant à la discussion sur les lois européennes strictes sur la protection de la vie privée et échauffant le débat sur la nécessité de nouvelles réglementations UE-États-Unis sur les données.
Les implications pratiques
On ne sait pas encore comment les entreprises qui utilisent Google Analytics sur leurs sites Web doivent procéder. La solution la plus cohérente avec les dernières interprétations des autorités de protection des données est de cesser d’utiliser l’outil ; cependant, de nombreuses entreprises continuent de le faire tout en observant l’évolution de la situation. Ce qui est sans aucun doute crucial à ce stade, alors que les autorités de protection des données enquêtent vigoureusement sur les transferts en dehors de l’EEE, c’est de disposer de tous les accords, politiques, procédures appropriés et, surtout, d’évaluations d’impact de transfert appropriées.