L’utilisation de Google Analytics a maintenant été jugée contraire aux lois sur la confidentialité de l’Union européenne en France – après qu’une décision similaire a été prise en Autriche le mois dernier.

L’autorité française de protection des données, la CNIL, dit aujourd’hui que l’utilisation de Google Analytics par un site Web local anonyme n’est pas conforme au règlement général sur la protection des données (RGPD) du bloc – violation de l’article 44 qui couvre les transferts de données personnelles en dehors du bloc vers des pays dits tiers qui ne sont pas considérés comme ayant une confidentialité essentiellement équivalente protections.

Les États-Unis échouent à ce test d’équivalence critique en raison de lois de surveillance radicales qui ne fournissent aux citoyens non américains aucun moyen de savoir si leurs données sont acquises, comment elles sont utilisées ou de demander réparation en cas d’utilisation abusive.

Alors que le RGPD de l’UE exige que la protection des données voyage avec les informations des citoyens en tant que stipulation d’exportation légale.

La CNIL française a enquêté sur l’une des 101 plaintes déposées par un groupe européen de défense de la vie privée, nobde retour dans Août 2020 – après que le plus haut tribunal du bloc a invalidé l’accord EU-US Privacy Shield sur les transferts de données.

Publicité

Depuis (en effet bien avant), la légalité des transferts transatlantiques de données à caractère personnel est plongée dans l’incertitude.

Bien qu’il ait fallu un certain temps aux régulateurs de l’UE pour agir sur les transferts illégaux de données — malgré une avertissement immédiat du comité européen de la protection des données d’aucune période de grâce à la suite de l’arrêt de la CJUE de juillet 2020 (alias ‘Schrems II) – les décisions commencent enfin à couler. Dont une autre par le contrôleur européen de la protection des données le mois dernierimpliquant également Google Analytics.

En France, la CNIL a enjoint au site qui faisait l’objet d’une des réclamations de noyb de se mettre en conformité avec le RGPD — et « le cas échéant, de cesser d’utiliser ce service dans les conditions actuelles » — en lui donnant un délai d’un mois pour s’y conformer.

Comme en Autriche, l’évaluation par la CNIL des mesures supplémentaires réclamées par Google (qui, selon elle, garantissaient que les données des citoyens de l’UE transférées, via Google Analytics, aux États-Unis, étaient protégées de manière adéquate) les a jugées insuffisantes.

« [A]Bien que Google ait adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne sont pas suffisantes pour exclure l’accessibilité de ces données aux services de renseignement américains », écrit la CNIL dans un communiqué. communiqué de presse annonçant la décision.

« Il y a donc un risque pour les internautes français qui utilisent ce service et dont les données sont exportées. »

La CNIL laisse la porte ouverte à l’utilisation continue de Google Analytics, mais seulement avec des changements substantiels qui garantiraient que seules les « données statistiques anonymes » soient transférées. (Et le Décision autrichienne contre Google Analytics le mois dernier ont adopté une interprétation large de ce qui constitue des données personnelles dans ce contexte, estimant qu’une adresse IP pouvait suffire compte tenu de la manière dont elle peut être combinée avec d’autres éléments de données détenus par Google pour identifier un utilisateur du site.)

Le régulateur français insiste également sur le fait que dans les « conditions actuelles », l’utilisation de Google Analytics n’est pas conforme – et peut donc devoir cesser pour que le site en question soit conforme au RGPD.

La CNIL suggère également d’utiliser un outil d’analyse alternatif qui n’implique pas de transfert hors de l’UE pour mettre fin à la violation.

En outre, il indique avoir lancé un programme d’évaluation pour déterminer quels services de mesure et d’analyse d’audience de sites Web peuvent être exemptés de la nécessité d’obtenir le consentement de l’utilisateur (c’est-à-dire parce qu’ils ne produisent que des données statistiques anonymes qui peuvent être exportées légalement dans le cadre du RGPD). Ce qui suggère que la CNIL pourrait publier à l’avenir des orientations recommandant des alternatives conformes au RGPD à Google Analytics.

La décision sur cette plainte a des implications claires pour tout site Web basé en France qui utilise actuellement Google Analytics – ou, en fait, tout autre outil qui transfère des données personnelles aux États-Unis sans mesures supplémentaires adéquates – du moins à court terme.

D’une part, la décision de la CNIL note qu’elle a rendu d’« autres » ordonnances de conformité aux opérateurs de sites Web utilisant Google Analytics (là encore sans nommer aucun site).

Alors que, compte tenu du travail conjoint des régulateurs de l’UE sur ces 101 plaintes stratégiques, les ramifications s’étendent probablement à l’échelle de l’UE.

La CNIL prévient également que son enquête – ainsi que les enquêtes parallèles menées par d’autres régulateurs de l’UE – s’étend à « d’autres outils utilisés par des sites qui entraînent le transfert de données d’internautes européens vers les États-Unis », ajoutant : « Des mesures correctives à cet égard pourraient être adoptées dans un proche avenir.

Ainsi, tous les outils basés aux États-Unis qui transfèrent des données personnelles sont confrontés à un risque réglementaire.

Nous avons demandé à la CNIL quels autres outils elle envisageait et mettrons à jour ce rapport avec toute réponse.

Google a également été contacté pour commenter la décision de la CNIL et comment il envisage de répondre, mais au moment de la rédaction, il n’avait pas répondu.

Commentant la critique de l’organisme de surveillance français dans un communiqué, le fondateur et président d’honneur de noyb, Max Schrems, a déclaré : « Il est intéressant de voir que les différentes autorités européennes de protection des données arrivent toutes à la même conclusion : l’utilisation de Google Analytics est illégale. Il y a un groupe de travail européen et nous supposons que cette action est coordonnée et d’autres autorités décideront de la même manière.

Privacy Shield v3 à la rescousse ?

Un facteur qui pourrait changer la situation est un nouvel accord entre l’UE et les États-Unis sur les transferts de données.

Des négociations entre la Commission européenne et leurs homologues américains sont en cours pour tenter de combler le fossé du transfert de données, comme cela s’est produit après l’annulation de la CJUE Safe Harbor en 2015 (alias Schrems I), ce qui signifie qu’il a été assez rapidement remplacé par Privacy Shield, jusqu’à ce que celui-ci soit également rapidement invalidé.

Ce schéma de plaintes conduisant à des annulations (plus rapides) rend impossible une « solution rapide » – même si les mesures d’application qui frappent actuellement des outils grand public tels que Google Analytics concentreront certainement les esprits à Bruxelles et à Washington, augmentant l’urgence politique et économique de trouver un moyen de résoudre ce problème.

La Commission a déclaré qu’elle souhaitait un accord de transfert de données de remplacement avec les États-Unis. Cependant il a aussi averti à plusieurs reprises qu’un tel accord doit être robuste pour une future contestation judiciaire – ce qui signifie qu’il doit répondre de manière substantielle aux préoccupations de la CJUE. Et sans une vaste réforme des pratiques de surveillance américaines, cela s’annonce difficile.

Pourtant, ces dernières semaines, des rapports ont suggéré que l’UE et les États-Unis sont sur le point de s’entendre sur un nouvel accord de transfert de données – potentiellement dès ce mois-ci, selon les rapports de politiquequi a également suggéré que les deux parties pourraient dévoiler un nouvel accord en mai lors d’une prochaine réunion du Conseil du commerce et de la technologie.

Cependant, les détails sur la manière dont les États-Unis et l’UE seront en mesure de concilier le cercle de l'(il)légalité du transfert de données sont rares.

Selon Politico, un mécanisme de recours en cours de discussion permettrait aux citoyens de l’UE de déposer directement (ou via leurs gouvernements nationaux) des plaintes auprès d’un organe judiciaire indépendant s’ils pensent que les agences de sécurité nationales américaines ont traité illégalement leurs informations personnelles.

Mais cela laisse encore beaucoup de questions. Notamment comment un citoyen de l’UE pourrait connaître se plaindre en premier lieu, étant donné l’absence de notification des interceptions de surveillance américaines.

Les États-Unis n’ont toujours pas non plus de loi fédérale sur la protection de la vie privée similaire au RGPD de l’UE, ce qui signifie que leurs propres citoyens ne disposent pas de protections complètes pour leurs informations, ce qui montre à quel point les deux juridictions restent éloignées sur cette question.

Et tandis que certains États américains — comme la Californie – ont pris les choses en main ces dernières années, en adoptant des lois pour accorder aux résidents certains droits légaux enveloppant leurs informations, la protection de la vie privée des citoyens américains reste, au mieux, un patchwork. Compte tenu de cela, il peut être difficile pour l’administration Biden de donner plus de droits aux citoyens non américains pour se plaindre de la surveillance américaine par rapport à ce que le pays fournit à ses propres citoyens.

Cependant, la pression commerciale s’intensifie sur cette question.

Juste cette semaine, Facebook/Meta s’est senti poussé à publier un article de blog – rejetant la déclaration de son dossier financier qui affirmait que ses divulgations équivalaient à une menace de retirer son service de l’Europe en raison de l’incertitude du transfert de données.

« Nous voulons voir les droits fondamentaux des utilisateurs de l’UE protégés, et nous voulons qu’Internet continue de fonctionner comme prévu : sans friction, dans le respect des lois applicables – mais pas confiné par les frontières nationales », a écrit le géant de la technologie, exhortant progresser sur un nouvel accord.

Meta a cependant sa propre raison très pressante de faire pression pour un nouveau «correctif», étant donné que son activité fait l’objet d’une plainte de transfert de données de très longue date – et c’est maintenant plus d’un an depuis son principal régulateur européen des données, la Commission irlandaise de protection des données, a promis de résoudre rapidement cette plainte.

En revanche, les plates-formes basées dans l’UE qui peuvent localiser et pare-feu légalement les données des utilisateurs dans le bloc, où elles sont protégées par le GDPR, ont des raisons d’être joyeuses.

À savoir : le mois dernier – à la suite de la décision autrichienne – un concurrent de Google Analytics basé en Pologne, Piwik Pro, nous a dit que Schrems II était l’une des principales préoccupations soulevées par les organisations qui l’avaient contacté pour rechercher une alternative à Google Analytics.

« Deux semaines seulement après la publication de la liste des 101 plaintes de Noyb, nous avons acquis en tant que client l’une des principales banques qui y sont répertoriées », a déclaré le PDG Maciej Zawadziński. « L’intérêt pour nos produits et services est directement affecté par tous les développements dans le domaine de la confidentialité et de la conformité. La décision Schrems II a été importante pour nous l’année dernière, tout comme la décision du DPA autrichien est assez importante maintenant.

« Nous prévoyons qu’en 2022, le stockage local des données de l’UE qui éliminera complètement les transferts de données offshore sera un argument de vente important. »

Zawadziński a ajouté que la société avait a ouvert un centre de données situé dans l’UE pour héberger et traiter les données des clients pour cette raison, notant : « Le centre de données est géré par une société de l’UE et ni nous ni aucun de nos fournisseurs ne sont soumis à la [US] Loi sur le nuage. »

Schrems prédit également un éclatement des services numériques et de la fourniture de produits européens dédiés – à moins ou jusqu’à ce que les États-Unis réforment leur approche de la vie privée. « À long terme, soit nous avons besoin de protections appropriées aux États-Unis, soit nous nous retrouverons avec des produits distincts pour les États-Unis et l’UE. Personnellement, je préférerais de meilleures protections aux États-Unis, mais cela dépend du législateur américain – et de personne en Europe », a-t-il ajouté dans un communiqué.

Ce rapport a été mis à jour avec un commentaire supplémentaire

Rate this post
Publicité
Article précédentLa solution Epazz DeskFlex Metaverse utilise la télémédecine dans un environnement de réalité augmentée pour une évaluation et un diagnostic précis des patients
Article suivantDocumentaire sur la crypto-monnaie de la BBC retiré des ondes à la dernière minute | Bbc Un
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici