Le régulateur autrichien a jugé qu’un site Web autrichien, qu’il n’a pas nommé, avait enfreint le règlement général sur la protection des données de l’UE en utilisant

Alphabet Inc.

Google Analytics, un outil qui suit la façon dont les gens utilisent les sites Web et transfère des données personnelles aux États-Unis depuis l’UE.

La décision fait partie d’un conflit de longue date entre les lois européennes strictes sur la protection de la vie privée et les mesures de surveillance américaines. Le site Web autrichien a utilisé des cookies pour collecter des données telles que les adresses IP et d’autres informations susceptibles d’identifier les utilisateurs, et les informations pourraient potentiellement être consultées par les autorités de renseignement américaines sur demande, a déclaré le régulateur.

La décision a des implications au-delà de l’Autriche. « Je suis sûr que les pratiques de Google Analytics sont à peu près les mêmes dans toute l’UE, elles enfreindraient donc le RGPD dans toute l’UE », a déclaré David Martin Ruiz, juriste principal à l’Organisation européenne des consommateurs, une organisation basée à Bruxelles. groupe de défense.

Les entreprises de l’UE pourraient prendre plusieurs mesures pour se conformer à la décision. Ils pourraient cesser d’utiliser Google Analytics et passer à des alternatives européennes, ou ils pourraient encourager Google et d’autres fournisseurs de technologie américains à mettre en place des centres de données dans l’UE en partenariat avec des entreprises locales, garantissant que les données des consommateurs restent au sein du bloc.

« C’est une pente glissante vers l’isolement numérique européen. Si l’Europe veut devenir un hub mondial de données, vous devez être connecté avec le monde extérieur », a déclaré Alexandre Roure, responsable des politiques publiques au bureau bruxellois de l’Association de l’industrie informatique et des communications, un groupe professionnel dont Google compte parmi ses membres. « Il y a des effets immédiats pour les entreprises européennes et américaines », a déclaré M. Roure.

Le régulateur autrichien a rejeté les garanties de Google, y compris les promesses de contester les demandes de données du gouvernement. Le site Web autrichien utilisant Google Analytics n’avait pas correctement configuré l’outil pour anonymiser les adresses IP, a déclaré le régulateur. Malgré cette technicité, le régulateur a déclaré qu’une adresse IP est une donnée personnelle car elle peut être combinée avec d’autres informations pour identifier un utilisateur de site Web.

Google a déclaré dans un article de blog publié mercredi qu’il « a offert des services liés à l’analyse aux entreprises mondiales pendant plus de 15 ans et pendant tout ce temps n’a jamais reçu » le type de demande de données d’utilisateurs des agences de sécurité nationales américaines que le régulateur autrichien considère comme un risque.

Un porte-parole de Google a fait référence au billet de blog lorsqu’on lui a demandé de commenter la décision du régulateur. Le billet de blog a appelé l’UE et les États-Unis à s’entendre sur un nouveau cadre de données pour assurer la circulation des informations entre eux. Il n’a pas précisé si Google ferait appel de la décision.

Jeroen Terstegge, partenaire de la société de conseil basée aux Pays-Bas Privacy Management Partners Coöperatie UA, a déclaré qu’il peut être difficile pour les entreprises de déterminer quelles protections de la vie privée s’appliquent aux transferts de données aux États-Unis. « Vous ne savez jamais exactement quand les garanties sont suffisantes », a-t-il déclaré.

La décision du régulateur autrichien est la dernière rebuffade des entreprises qui transfèrent des données personnelles aux États-Unis en 2020, le plus haut tribunal de l’UE a statué que Privacy Shield, un arrangement largement utilisé pour déplacer des données à travers l’Atlantique, était illégal. Depuis lors, les régulateurs ont déclaré que les entreprises devaient utiliser des options juridiques alternatives et mettre en œuvre des garanties pour garantir que les données des Européens soient tenues à l’écart de la surveillance du gouvernement américain.

Les régulateurs de l’UE ont adressé plusieurs reproches aux grandes entreprises technologiques américaines ces derniers mois. Ce mois-ci, L’autorité française de protection de la vie privée condamnée à une amende Google 169 millions de dollars et

Métaplates-formes Inc.

Facebook 67 millions de dollars pour avoir rendu trop difficile pour les utilisateurs du site Web de rejeter les cookies, qui sont utilisés pour suivre leur comportement de navigation.

La décision du régulateur autrichien a été publiée par NOYB, une organisation à but non lucratif basée à Vienne, dont le nom signifie « Aucun de votre entreprise », qui a porté plainte contre le site Web autrichien. NOYB a déclaré avoir déposé 100 autres plaintes similaires auprès des régulateurs de l’UE l’année dernière.

Le 13 janvier, le jour même où NOYB a publié la décision autrichienne, l’autorité néerlandaise chargée de la protection de la vie privée a déclaré qu’elle enquêtait sur deux plaintes contre Google Analytics. « L’utilisation de Google Analytics pourrait bientôt ne plus être autorisée », a écrit le régulateur néerlandais dans une mise à jour d’un guide en ligne sur l’utilisation de Google Analytics et le respect de la vie privée.

Écrire à Catherine Stupp à Catherine.Stupp@wsj.com