Au cours des plus de 18 mois qui ont suivi la décision « Schrems II » de la Cour de justice de l’Union européenne, de nombreuses mesures d’exécution de l’UE liées à Schrems-II ont principalement impliqué des violations par des organisations publiques, en particulier concernant des données sensibles ou des défaillances de processus. Pour la partie plus large du secteur privé de la communauté de la protection de la vie privée, ces mesures d’application peuvent avoir été moins préoccupantes lors de l’évaluation du profil de risque de leur organisation.

Ces dernières semaines, cependant, deux mesures d’exécution – l’une de l’autorité autrichienne de protection des données, l’autre de la Commission nationale de l’informatique et des libertés française – ont changé le calcul et devraient, à tout le moins, attirer l’attention de la vie privée avantages.

Notamment, les deux cas impliquent l’utilisation par les entreprises de Google Analytics, peut-être l’un des outils d’analyse de données Internet les plus courants sur le marché. Il convient également de noter que les deux affaires ont été déposées par NOYB, l’organisation fondée par Max Schrems. Ces deux affaires ne sont que la pointe de l’iceberg, car NOYB a déposé un total de 101 affaires dans l’UE peu de temps après la décision de la CJUE en 2020.

« Je dirais que les deux cas de Google Analytics augmentent le profil de risque pour les entreprises parce qu’ils se sont concentrés sur le commercial », a déclaré Caitlin Fennessy, directrice des connaissances de l’IAPP, CIPP/US, lors d’une Session en direct sur LinkedIn sur l’application, le risque et la conformité du transfert de données. Ces cas récents, a-t-elle déclaré, « sont au premier plan d’une cascade de 101 décisions que nous prévoyons de rendre au cours des semaines et des mois à venir, tout en attendant une solution diplomatique sur un nouveau bouclier de protection des données ».

Une cascade de cas à l’horizon

Gabriela Zanfir-Fortuna, du Future of Privacy Forum, qui a récemment écrit une analyse de la décision autrichienne, a établi des liens entre l’affaire autrichienne et une décision du Contrôleur européen de la protection des données, qui s’est penché sur l’utilisation de Google Analytics par le Parlement européen. Zanfir-Fortuna a trouvé plusieurs similitudes entre le cas du CEPD et celui de l’Autriche, ce qui, « pour moi, cela a été un déclencheur pour que nous examinions des évaluations juridiques très similaires dans le reste des 101 cas à venir ». Elle a également souligné que l’EDPB a créé un groupe de travail pour traiter ces 101 cas, qui ont tous avancé des arguments juridiques similaires.

Publicité

Les 101 cas ciblent soit Google Analytics, soit ce que NOYB appelle « Facebook Connect », a déclaré Zanfir-Fortuna. La DPA autrichienne a constaté que les données personnelles sont traitées par Google Analytics, y compris l’ID de cookie et l’adresse IP, ainsi que d’autres métadonnées, comme le navigateur Web utilisé. « Ils ont fait cette analyse de telle manière qu’il s’avère que peu importe si un visiteur du site Web est connecté ou non », a-t-elle déclaré. Dans l’étape suivante de son analyse, l’APD autrichienne a également constaté que Google Analytics constituait un transfert de données vers les États-Unis. Ensuite, ils ont également examiné la légalité de ce transfert et si une protection suffisante était en place au moment du transfert.

D’une manière générale, Ruth Boardman de Bird & Bird a déclaré que les décisions autrichienne et française « ont le potentiel d’être très largement appliquées et d’avoir un impact considérable ». Le billet de blog officiel de Google a souligné qu’au cours de ses 15 années d’utilisation de Google Analytics, il n’a jamais reçu de demande d’une autorité publique pour accéder à ces données. En liant cela à la quantité limitée de données collectées par Google Analytics sur les individus, Boardman a demandé : « Si ce type de données ne peut pas être transféré, que peut-on transférer ? »

Plus précisément, Boardman a souligné une divergence dans une référence faite par la DPA autrichienne aux directives du Comité européen de la protection des données sur la manière dont les organisations doivent gérer les transferts de données. Il y avait eu un projet d’ensemble de lignes directrices et un ensemble final, dont le dernier différait sur certains points essentiels. Dans le projet, a-t-elle dit, les directives stipulaient qu’il devrait y avoir un « risque zéro » d’accès par les autorités publiques, mais les directives finales indiquaient que l’on pouvait examiner la « probabilité d’accès ». Mais dans sa décision d’exécution, l’APD autrichienne cite le projet de lignes directrices, et non les lignes directrices finales du CEPD.

À la suite de ce qui précède, Boardman a déclaré qu’elle pensait que la décision de la CNIL « est plus importante car elle concerne les directives finales ».

Pour Alex Joel, directeur de projet principal de l’American University College of Law, CIPP/G, qui était auparavant chef du bureau américain du directeur du bureau des libertés civiles, de la confidentialité et de la transparence du bureau du renseignement national, les décisions autrichienne et française étaient intéressantes parce que le Les APD n’ont pas approfondi les lois américaines pertinentes (dans ce cas, l’article 702 de la loi sur la surveillance du renseignement étranger), s’en remettant à l’évaluation de la CJUE selon laquelle elle ne respecte pas la norme juridique de l’UE et en restant là.

Dans le même ordre d’idées, les autorités allemandes ont récemment rendu public un opinion d’expert sur l’article 702 par le juriste Steven Vladeck. Dans l’avis cité dans l’affaire Schrems II par la CJUE, Vladeck argumenté que 702 pourrait être interprété comme s’appliquant plus largement que ce qui est généralement connu et pourrait inclure les organisations d’accueil, financières et de transport.

En réponse, Joel a noté que si le gouvernement américain souhaitait obtenir des informations sous 702, il devait s’adresser à un fournisseur de services de communications électroniques, à un fournisseur de services informatiques à distance ou à un opérateur de télécommunications pour leur signifier une directive. Joel souligne que le fil conducteur des types de fournisseurs de services est la « communication », mais si l’on « regarde certaines publications du gouvernement américain, qu’il s’agisse d’une cible ou de la communication avec une cible, que Google Analytics ou d’autres services impliquent une communication est pas une réponse simple. »

Joel décompose ce qui est théoriquement possible et ce qui est fait dans la pratique. Pour le premier, on pourrait construire un argument selon lequel 702 pourrait s’appliquer à un large éventail d’entités, mais il soutient que l’EDPB a offert des conseils non pas sur ce qui est théoriquement possible, mais sur ce qui se passe dans la pratique.

Pour étayer son propos, il a fait référence à un Livre blanc du Département américain du commerce à partir de 2020 qui a noté que les agences de renseignement américaines ne s’intéressaient pas beaucoup à la plupart des transferts transatlantiques commerciaux de données, y compris les entreprises utilisant des «informations commerciales ordinaires». Joel a également trouvé intéressant qu’aucune des décisions de la DPA ne mentionne le fait que Google Analytics n’a jamais reçu de demande d’accès du gouvernement américain au cours de ses 15 ans d’existence.

Cela n’a cependant pas surpris Zanfir-Fortuna, qui a souligné que la CNIL dans sa décision a déclaré que la CJUE avait déjà évalué le cadre américain et qu’elle ne ressentait pas le besoin d’aller au-delà du cadre. En fin de compte, a-t-elle déclaré, bien que les autorités de protection des données autrichiennes et françaises aient utilisé des raisonnements différents dans leur évaluation de Google Analytics, elles sont toutes deux arrivées à la même conclusion : que des mesures supplémentaires – y compris des mesures techniques telles que le cryptage – ainsi que des mécanismes de transfert devraient être en place. place pour « éliminer la possibilité d’accès » par le gouvernement américain.

Qu’est-ce que tout cela signifie pour la conformité ?

S’il est raisonnable de s’attendre à ce que d’autres autorités de contrôle de l’UE arrivent à des conclusions similaires sur Google Analytics, incitant certains à comparer la cascade à « une mort par 1 000 coupures », que devraient penser les professionnels de la confidentialité de leur profil de risque et de leurs options de conformité ?

Boardman a présenté trois options. Les entreprises peuvent « attendre et voir si les choses changent ». Pourquoi attendre? Elle a noté que les décisions étaient « prises en partant du principe que Google dans son ensemble est soumis à ce type de décisions », mais elle a souligné qu’aucune demande d’accès n’avait jamais été demandée à Google Analytics, selon au président de Google, Affaires mondiales et directeur juridique, Kent Walker, et à Boardman, le fait que les DPA n’en aient pas tenu compte mérite d’être noté. Elle a ajouté : « J’encourage les autres DPA à consulter la déclaration de Google pour voir si cela fait une différence. »

La deuxième option tirerait parti de l’approche la plus conservatrice : cesser d’utiliser Google Analytics et ne prendre aucun risque.

Ou, la troisième alternative consisterait à examiner le consentement individuel. Bien que cela ne soit normalement pas utile comme mécanisme de transfert, a déclaré Boardman, la plupart des éditeurs demanderont le consentement pour les cookies d’analyse. Cela signifie qu’ils pourraient également demander le consentement pour placer des cookies et un consentement séparé pour les transferts de données.

« Cela semble être une option plausible », a-t-elle déclaré.

À long terme

« Nous avons vraiment besoin de transferts », a déclaré Zanfir-Fortuna. « Je persuaderais tous ceux qui écoutent, quelles que soient les options de conformité, d’en parler à votre conseil d’administration ou à votre PDG. Poussez-les pour qu’ils parlent au Congrès (américain) … faites-leur savoir son importance dans les opérations quotidiennes des entreprises. C’est pas seulement dans l’UE. En fin de compte, j’espère que la solution n’implique pas des équipes de conformité ou une troisième audience de la CJUE. Nous devons sensibiliser les plus hauts niveaux que nous sommes conscients que ce problème doit être résolu. Nous avons besoin de la coopération des États-Unis à long terme, et cela pourrait nécessiter une législation. »

Rate this post
Publicité
Article précédentOù est Xur aujourd’hui ? (25 février-1er mars) – Guide de localisation et d’exotiques de Destiny 2 Xur
Article suivant3 détenus pour avoir tué un ami après avoir joué au jeu PUBG à Thane – ThePrint
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici